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目 动 网 络 管理 系统 


Douglas 先 生 以 他 特有 有 的 思路 把 网 络 管 理 这 一 错 综 复 杀 有 的 内 容 讲 解 得 
wI bE 





清晰 罗 懂 。 他 均 多 和 客观 


John Saperia， 网 络 管理 工程 师 、 体 系 架 构 师 、 作 家 、 标 准 制 定 者 


网 络 互 联 的 下 一 个 时 代 将 主要 关注 自动 规划 、 配 置 、 控 制 以 及 操作 计算 机 网 络 和 互联 网 。 本 书 论述 了 
自动 化 网 络 管理 面临 的 挑战 ， 评 论 了 现 有 的 管理 工具 和 技术 ， 并 预见 了 自动 化 管理 的 未 来 。 
Comer 博 士 指 出 ， 自 动 化 既是 对 人 类 智力 的 挑战 ， 其 中 又 蕴藏 着 巨大 的 商机 。 书 中 详细 论述 了 目前 网 


络 难 以 管理 的 原因 以 及 提高 自动 化 程度 的 重要 性 ， 
络 管理 技术 ， 并 估计 了 其 性 能 和 局 限 性 。 


还 前述 了 标准 FCAPS 管 理 模型 ， 列 举 了 当前 最 重要 的 网 


Comer 情 十 认为 创新 从 新 兴 的 体系 结构 到 信息 表示 和 语义 上 的 改进 能 够 让 自动 控制 更 加 有 效 。 基 


于 当今 网 络 发 展 的 实际 情况 ， 他 标识 出 一 个 完整 的 自动 化 管理 系统 的 特性 ， 主 要 包括 : 
@ 基础 和 定义 : 网 络 元 素 、 服 务 器 、 故 障 管理 、 配 置 、 计 费 、 性 能 和 安全 。 
e 基于 自动 网 络 管理 的 关键 概念 ， 包 括 源 自 大 规模 分 布 式 系统 的 思想 。 
@ 现 有 的 技术 : 集成 平台 、SNMP、NetFlow、 路 由 和 拥塞 管理 、 脚 本 。 

高 级 自动 控制 中 的 现实 目标 和 工程 的 权衡 。 

用 于 自动 网 络 管理 和 表示 网 络 站 点 的 软件 体系 结构 。 

开放 性 问题 和 研究 的 难点 。 


作 普度 大 学 计算 机 科学 系 教授 ， 同 时 是 Cisco 公 司 
a Douglas E. Comer 研发 副 总 裁 。 他 曾 是 因特网 体系 结构 委员 会 茸 


A 


向 | 成 员 ， 该 委员 会 是 确定 因特网 发 展 标准 的 权威 机 构 ， 同 时 还 是 美国 计算 机 学 会 的 会 


介 | 对 20 世 纪 70 年 代 未 期 和 80 年 代 因特网 的 形成 有 杰出 贡献 的 研究 人 员 之 一 ， 常 年 担任 研究 性 杂 
志 《 软 件 ， 实 践 与 经 验 》 的 主编 。 除 本 书 外 ， 他 还 著 有 《TCP/IP 网 络 互联 技术 》 (3 卷 本 ) 、 


《计算 机 网 络 与 因特网 》、《iInternet 技 术 基 础 》 等 。 
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本 书 对 自动 网 络 管理 进行 了 全 面 介绍 ， 全 书包 括 三 个 部 分 。 第 一 部 分 对 网 络 管理 的 问题 
进行 定义 ， 并 给 出 重要 的 背景 知识 ; 第 二 部 分 介绍 进行 网 络 自 动 化 管理 的 工具 与 技术 ; 第 三 
部 分 介绍 网 络 自 动 化 管理 的 发 展 趋势 并 提出 了 开放 性 的 问题 。 

本 书 层 次 清晰 、 概 念 准确 、 语 言 通俗 易 懂 ， 既 适合 高 等 院 校 计算 机 及 相关 专业 作为 教材 ， 
也 适合 从 事 网 络 管理 的 技术 人 员 阅 读 。 


Authorized translation from the English language edition, entitled AUTOMATED NETWORK 
MANAGEMENT SYSTEMS: CURRENT AND FUTURE CAPABILITIES, 1“ Edition, 0132393085 
by COMER, DOUGLAS E. published by Pearson Education, Inc, publishing as Prentice Hall, Copy- 
right © 2007 . 

All rights reserved. No part of this book may be reproduced or transmitted in any form or by any 
means, electronic or mechanical, including photocopying, recording or by any information storage 
retrieval system, without permission from Pearson Education, Inc. CHINESE SIMPLIFIED language 
edition published by PEARSON EDUCATION ASIA LTD. , and CHINA MACHINE PRESS Copy- 
right © 2009. The copyright notice must be printed in the English language as well as in the Chinese 
Simplified language. 
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文艺 复兴 以 降 ， 源 远 流 长 的 科学 精神 和 逐步 形成 的 学 术 规 范 ， 使 西方 国家 在 自然 科学 的 
各 个 领域 取得 了 华 断 性 的 优势 ， 也 正 是 这 样 的 传统 ， 使 美国 在 信息 技术 发 展 的 六 十 多 年 间 名 
家 辈出 、 独 领 风 骚 。 在 商业 化 的 进程 中 ， 美 国 的 产业 界 与 教育 界 越 来 越 紧密 地 结合 ， 计 算 机 
学 科 中 的 许多 泰山 北斗 同时 身 处 科研 和 教学 的 最 前 线 ， 由 此 而 产生 的 经 典 科 学 著作 ， 不 仅 澡 
划 了 研究 的 范畴 ， 还 揭示 了 学 术 的 源 变 ， 既 遵循 学 术 规范 ， 又 自 有 学 者 个 性 ， 其 价值 并 不 会 
因 年 月 的 流逝 而 减退 。 

近年 ， 在 全 球 信息 化 大 潮 的 推动 下 ， 我 国 的 计算 机 产业 发 展 迅猛 ， 对 专业 人 才 的 需求 日 
益 迫 切 。 这 对 计算 机 教育 界 和 出 版 界 都 既是 机 遇 ， 也 是 挑战 ， 而 专业 教材 的 建设 在 教育 战略 
上 显得 举足轻重 。 在 我 国信 息 技术 发 展 时 间 较 短 的 现状 下 ， 美 国 等 发 达 国 家 在 其 计算 机 科学 
发 展 的 几 十 年 间 积 淀 和 发 展 的 经 典 教材 仍 有 许多 值得 借鉴 之 处 。 因 此 ， 引 进 一 批 国外 优秀 计 
算 机 教材 将 对 我 国 计 算 机 教育 事业 的 发 展 起 到 积极 的 推动 作用 ， 也 是 与 世界 接轨 、 建 设 真正 
的 世界 一 流 大 学 的 必由之路 。 

机 械 工业 出 版 社 华章 分 社 较 早 意识 到 “出 版 要 为 教育 服务 "”。 自 1998 年 开始 ， 华 章 分 社 册 
将 工作 重点 放 在 了 六 选 、 移 译 国 外 优秀 教材 上 。 经 过 多 年 的 不 懈 努 力 ， 我 们 与 Pearson， 
McGraw-Hill, Elsevier, MIT, John Wiley & Sons，Cengage 等 世界 著名 出 版 公司 建立 了 良好 
的 合作 关系 ， 从 他 们 现 有 的 数 百 种 教材 中 王选 出 Andrew S. Tanenbaum, Bjarne Stroustrup, 
Brain W. Kernighan, Dennis Ritchie, Jim Gray, Afred V. Aho, John E. Hopcroft, Jeffrey D. 
Ullman, Abraham Silberschatz, William Stallings, Donald E. Knuth, John L. Hennessy, Larry 
L. Peterson 等 大 师 名 家 的 一 批 经 典 作品 ， 以 “计算 机 科学 丛书 ”为 总 称 出 版 ， 供 读者 学 习 、 研 
究 及 珍藏 。 大 理 石 纹理 的 封面 ， 也 正体 现 了 这 套 丛 书 的 品位 和 格调 。 

“计算 机 科学 丛书 ”的 出 版 工作 得 到 了 国内 外 学 者 的 鼎力 衷 助 ， 国 内 的 专家 不 仅 提 供 了 中 
肯 的 选 题 指 导 ， 还 不 辞 劳苦 地 担任 了 翻译 和 审 校 的 工作 ， 而 原 书 的 作者 也 相当 关注 其 作品 在 
中 国 的 传播 ， 有 的 还 专程 为 其 书 的 中 译本 作 序 。 迄 今 ,“ 计 算 机 科学 丛书 ”已 经 出 版 了 近 两 下 
个 品种 ， 这 些 书籍 在 读者 中 树立 了 良好 的 口碑 ， 并 被 许多 高 校 采 用 为 正式 教材 和 参考 书籍 。 
其 影印 版 “经 典 原版 书库 ”作为 姊妹 篇 也 被 越 来 越 多 实施 双语 教学 的 学 校 所 采用 。 

权威 的 作者 、 经 典 的 教材 、 一 流 的 译 者 、 严 格 的 审 校 、 精 细 的 编辑 ， 这 些 因 素 使 我 们 的 
图 书 有 了 质量 的 保证 。 随 着 计算 机 科学 与 技术 专业 学 科 建 设 的 不 断 完 善 和 教材 改革 的 逐 源 深 
化 ， 教 育 界 对 国外 计算 机 教材 的 需求 和 应 用 都 将 步 人 一 个 新 的 阶段 ， 我 们 的 目标 是 尽善尽美 ， 
而 反馈 的 意见 正 是 我 们 达到 这 一 终极 目标 的 重要 帮助 。 华 章 分 社 欢迎 老师 和 读者 对 我 们 的 工 
作 提 出 建议 或 给 予 指正 ， 我 们 的 联系 方法 如 下 : 


华章 网 站 :; www.hzbook.com 

电子 邮件 : hzjsj@hzbook.com 

RRA HE: (010) 88379604 

联系 地 址 : 北京 市 西城 区 百 万 庄 南 街 1 号 
邮政 编码 : 100037 








21 世纪 的 一 个 重要 特征 是 数字 化 、 网 络 化 与 信息 化 ， 而 它 的 基础 是 支持 全 社会 的 强大 的 计 
算 机 网 络 。 计 算 机 网 络 技 术 对 社会 发 展 和 科学 技术 的 进步 产生 了 不 可 估量 的 影响 。 计 算 机 网 络 
已 经 与 电力 、 电 话 一 样 ， 成 为 支持 现代 社会 整体 运行 的 基础 设施 ， 人 们 时 刻 都 不 能 离开 。 随 着 人 
们 对 网 络 服务 需求 的 增加 与 网 络 规模 的 扩大 ,企业 管理 者 与 用 户 对 网 络 的 依赖 程度 越 来 越 高 ， 
如 何 保 证 网 络 持续 、 有 效 、 安 全 地 运行 已 经 成 为 关键 性 问题 ， 这 就 使 得 网 络 管理 成 为 现代 网 络 技 
术 中 的 重要 人 研究 谍 题 。 

Douglas E . Comer 是 国际 著名 的 网 络 技术 专家 ， 他 的 很 多 著作 已 经 被 翻译 成 多 种 文字 在 世界 
各 国 发 行 ， 并 且 被 广泛 应 用 于 很 多 大 学 的 计算 机 专业 教学 中 。 他 对 网 络 管理 的 概念 和 工作 原理 
有 独到 的 见解 ， 这 与 他 在 计算 机 系统 (包括 硬件 与 软件 ) 方面 具备 广泛 的 研究 背景 是 分 不 开 的 。 
在 本 书 中 ， 作 者 用 清晰 的 层次 结构 、 准 确 的 概念 与 通俗 易 懂 的 语言 ， 为 读者 准确 地 剖析 了 网 络 管 
理 的 工作 机 制 ， 以 及 自动 化 网 络 管理 的 相关 人 研究 、 技 术 与 未 来 发 展 方 癌 。 

本 书 的 最 大 特点 是 能 够 满足 不 同 程度 的 读者 需求 。 对 于 网 络 管理 方面 的 背景 知识 不 是 很 多 
的 读者 ， 本 书 是 一 本 适宜 的 入 门 教材 和 参考 书 ， 他 们 可 以 循序 渐进 地 学 习 网 络 管理 基础 知识 ， 了 
解 网 络 管理 的 新 的 发 展 动态 。 对 于 讲授 计算 机 网 络 和 网 络 管理 课程 的 教师 ， 或 者 对 网 络 管理 有 
一 定 了 解 的 高 年 级 本 科 生 与 研究 生 ， 本 书 是 一 本 适宜 的 提高 教材 与 参考 书 ， 他 们 可 以 从 中 获得 
所 需 知识 来 完成 教学 与 研究 ， 并 学 会 利用 相关 工具 来 完成 基本 的 网 络 管理 任务 。 

本 书 的 前 言 、 第 1 ~2 章 与 第 16 ~ 18 BH RRM, 第 3 ~5 章 及 第 12 ~ 15 SHSM 
译 , 第 6 ~11 章 由 孙 琳 翻译 ， 全 书 由 天 英 审 校 。 

在 翻译 这 本 书 的 过 程 中 ， 我 们 希望 尽 可 能 地 笨重 原著 的 思想 ， 但 是 译 者 的 学 识 有 限 ， 加 之 时 
ACH, BPEBAR INCA, MERA E. 


译 者 
2008 年 8 A148 
于 南开 大 学 信息 技术 科学 学 院 
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网 络 管理 仍 是 人 类 在 网 络 领域 了 解 最 少 的 方面 。 研 究 人 员 已 成 功 设 计 出 整套 的 Internet 通信 
协议 ， 网 络 行业 已 开发 出 整套 高 速 处 理 数据 包 的 创新 性 系统 。 与 此 同时 ， 网 络 管理 高 度 依赖 于 人 
类 的 创造 力 来 诊断 问题 ， 并 通过 人 工 干 预 来 修复 问题 。 

网 络 在 商业 应 用 上 的 成 功 使 网 络 管理 的 难度 增加 。 一 方面 ， 对 网 络 服务 需求 的 增加 意味 着 
网 络 规模 要 不 断 扩大 。 另 一 方面 ， 高 需求 正在 创造 着 一 种 环境 ， 促 使 运 党 商 开 发 创新 性 的 产品 与 
技术 。 由 于 管理 员 倾 向 于 采用 最 先进 的 网 络 元 素 与 机 制 ， 因 此 这 种 扩展 导致 网 络 管理 发 生 显著 
变化 。 结 果 ， 在 网 络 中 包含 多 种 以 ad hoc 方式 结合 的 新 技术 ， 这 意味 着 网 络 基 础 设施 变 得 杂乱 
无 章 。 

即使 对 于 一 个 小 型 ad hoc 网 络 ， 也 很 难 对 它 进行 监视 与 控制 。 随 着 网 络 规模 不 断 扩大 ， 出 
现 的 问题 常常 让 管理 员 一 筹 莫 展 。 大 型 的 企业 网 络 通常 相当 复杂 ， 管理 员 很 难 独立 胜任 管理 任 
务 。 简 而 言 之 ， 我 们 没有 足够 的 能 力 来 设计 、 部 署 、 配 置 、 控 制 、 监 视 、 测 试 与 管理 大 型 网 络 ， 
因此 需要 实现 网 络 管理 自动 化 。 

网 络 管理 自动 化 是 本 书 的 中 心 议题 。 我 们 既 将 全 面 的 自动 化 管理 视 为 对 人 类 智力 的 挑战 ， 
又 视 为 在 商业 上 可 行 的 努力 。 本 书 各 章 将 会 考虑 这 个 问题 ， 评 价 现 有 的 工具 与 技术 ， 并 研究 目 动 
化 能 够 以 哪 种 方式 得 到 扩展 。 
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第 1 草 网 络 管理 的 挑战 


1.1 简介 

从 商业 网 络 出 现时 开始 ， 如 何 有 效 管理 通信 网 络 的 问题 就 一 直 困扰 着 产业 界 。 网 络 设备 需 
要 安装 、 配 置 、 操 作 、 监 控 与 维护 ， 而 用 于 连接 设备 的 铜 缆 与 光纤 基础 设施 需要 购买 或 租赁 。 用 
户 需要 付费 使 用 这 些 服务 。 另 外 ， 管 理 员 必须 考虑 如 何 保护 网 络 ， 以 避免 网 络 遭 到 无 意 或 恶意 的 
破坏 。 

令 人 惊讶 的 是 ， 尽 管 已 经 对 网 络 管理 问题 进行 了 研究 ， 并 创建 出 很 多 用 于 帮助 管理 者 的 技 
R, 但 很 多 网 络 管理 活动 仍然 需要 人 工 完成 。 这 些 可 行 的 技术 是 网 络 管理 的 基础 ， 人 类 智慧 被 用 
于 解决 复杂 性 的 问题 。 因 此 ， 存 在 一 个 令 人 兴奋 的 机 会 : 找到 一 种 方式 来 构造 软件 系统 ， 以 便 自 
动 完成 网 络 管理 任务 。 这 个 问题 形成 我 们 讨论 的 焦点 ， 自 动 化 管理 是 对 智力 的 挑战 ， 但 其 成 果 可 
能 获得 商业 上 的 成 功 。 


1.2 Internet 与 网 络 管理 


Internet 的 出 现 从 根本 上 改变 了 网 络 管理 的 方式 。 与 传统 电话 系统 由 一 个 大 的 电话 公司 拥有 ， 
并 管理 包括 通信 线路 到 服务 的 整个 网 络 不 同 ，Internet 连接 着 很 多 由 不 同 机 构 拥 有 并 管理 的 网 络 。 
因此 ， 不 是 由 单一 的 电话 公司 来 集中 管理 整个 网 络 ，Intemet 要 求 每 个 机 构 独立 维护 自己 的 内 部 
网 络 。 随 着 越 来 越 多 的 机 构建 立 数据 网 络 ， 自 动 管理 的 需求 变 得 越 来 越 迫切 。 

过 去 ， 网 络 研究 组 织 与 网 络 产 业界 一 起 工作 以 解决 问题 。 早 期 的 工作 主要 是 探索 基本 技术 ， 
例如 信号 与 调制 、 数 字 编 码 、 基 本 通信 协议 等 。 第 二 阶段 是 提出 一 些 用 于 创建 现代 通信 网 络 
(例如 局 域 网 与 广域网 、 交 换 机 、 路 由 器 、Intemet 协议 、 网 络 应 用 等 ) 的 技术 。 第 三 阶段 是 由 网 
络 科学 研究 向 商业 方面 转变 ， 包 括 Intenet 服务 提供 商 以 合同 形式 明确 用 户 获得 服务 ， 而 自己 是 
为 用 户 提 供 服务 。 

根据 网 络 管理 的 紧迫 性 与 重要 性 ， 我 们 可 以 预测 : 


网 络 研究 的 下 一 阶段 将 会 集中 在 找到 自动 管理 方式 ， 以 便 规 划 、 配 置 、 控 制 与 运营 计 


算 机 网 络 和 Internet。 





1.3 Internet 结构 


要 理解 网 络 管理 的 难度 ,我 们 首先 需要 了 解 网 络 的 底层 结构 。 在 一 个 层次 上 ，Internet 可 以 
锌 看 作 一 个 局 平 结构 的 “网 中 网 ， 大 量 独 立 的 数据 包 交 换 网 络 之 间 通 过 路 由 器 互联 起 来 。 尽 管 
互联 网 络 的 抽象 给 我 们 一 个 清晰 的 图 片 ， 但 是 现实 情况 比 想象 中 要 复杂 得 多 。 网 络 与 路 由 器 被 
划分 为 子 网 ， 每 个 子 网 由 一 个 管理 实体 拥有 与 运营 ， 并 且 子 网 基于 不 同 目的 提供 服务 。 网 络 结构 
随 着 覆盖 网 与 隧道 技术 的 出 现 而 变 得 复杂 ， 这 些 技术 用 于 在 物理 网 络 中 实现 成 组 的 逻辑 连接 。 
管理 实体 (administrative entity) 这 个 术语 已 变 得 相当 模糊 ， 这 是 由 于 实体 可 小 〈 例 如 个 人 ) 可 
大 (例如 跨国 公司 )， 也 可 能 是 支持 内 部 业务 、 电 子 商 务 或 全 部 业务 的 Internet (例如 为 其 他 用 户 
提供 Internet 服务 的 服务 提供 商 ) 。 网 络 下 层 结构 也 发 生 了 变化 : Internet 服务 提供 商 的 边缘 部 分 
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连接 终端 系统 ， 例 如 桌面 计算 机 或 便携 式 设 备 ， 而 Internet 服务 提供 次 的 核心 部 分 通过 路 由 器 提 
供 数 据 包 传输 服务 。 

1.4 管理 一 个 实体 


从 概念 上 将 Internet 划分 为 管理 实体 是 重要 的 ， 这 是 由 于 它 意味 着 自治 ， 即 每 个 实体 可 以 目 
由 设计 并 实现 自己 的 使 用 策略 。 因 此 ， 所 有 权 的 概念 成 为 网 络 管理 和 控制 的 关键 因素 : 





尽管 Internet 中 的 设备 需要 协同 工作 以 保证 网 络 功能 正常 ,但 是 每 个 管理 实体 独立 操 
作 与 控制 属于 自己 的 .Internet 部 分 。 








也 就 是 说 ， 每 个 实体 配置 、 监 视 与 控制 自己 的 交换 机 、 路 由 器 或 网 络 ， 以 实现 本 地 策略 而 不 
依赖 于 通用 的 控制 机 制 。 因 此 ， 这 种 自治 提供 了 选择 策略 的 自由 ， 但 是 要 求 每 个 管理 实体 确保 它 
的 策略 得 到 执行 。 | 


1.5 内 部 与 外 部 策略 


我 们 将 学 习 很 多 复杂 网 络 管理 的 问题 与 细节 。 由 自治 的 概念 引出 一 个 问题 : 在 不 同 管理 实 
体 之 闻 存 在 着 边界 ， 位 于 边界 上 的 实体 必须 协同 执行 双方 的 策略 。 和 例如 ， 在 一 个 典型 的 公司 中 ， 
公司 员工 可 以 访问 内 部 设备 与 服务 ， 而 公司 以 外 的 用 户 则 没有 这 个 权限 。 因 此 ， 公 司 策略 就 会 包 
含 “内 部 ”与 “外 部 ”的 规则 ， 而 这 些 规则 之 间 的 交互 变 得 复杂 。 

管理 边界 为 服务 提供 商 带 来 复杂 的 问题 ， 这 是 由 于 服务 提供 商 必须 建立 多 种 策略 ， 以 便 满 
足 个 人 用 户 与 其 他 服务 提供 商 的 需要 。 因 此 ， 当 我 们 讨论 服务 提供 商 的 网 络 管理 时 ， 要 充分 认识 
到 复杂 性 问题 大 多 是 由 边界 引起 的 。 


1.6 网 络 管理 状态 


正如 我 们 将 要 学 到 的 那样 ， 网 络 管理 目前 处 于 一 种 不 乐观 的 状态 。 管 理 员 ” 都 在 抱怨 很 难 理 
解 运营 条 件 与 通信 和 量 、 故 障 诊 断 、 实 现 策略 与 验证 安全 规定 。 现 有 的 工具 与 协议 只 能 提供 基本 功 
能 ， 并 不 能 处 理 跨越 多 设备 的 全 局 策略 或 服务 。 每 个 网 络 设备 都 是 独立 配置 写 控 制 的 ， 这 就 意味 
着 如 果 要 实现 一 个 穿越 整个 管理 域 的 策略 ， 管 理 员 必须 配置 每 个 设备 以 完成 期 望 的 策略 。 另 外 ， 
由 于 设备 通常 由 茶 个 特定 供应 商 提供 ， 现 有 的 工具 很 难 在 异 构 环 境 中 使 用 ， 也 很 难 与 其 他 工具 
进行 交互 。 这 点 主要 表现 在 ， 


当前 的 网 络 管理 工具 主要 集中 在 单个 设备 : 诊断 一 个 问题 或 实现 一 个 策略 要 求 管 理 员 





一 次 只 能 检测 或 配置 一 个 设备 。 


另外， 网 络 产 业界 采用 了 一 种 手工 管理 的 泵 型 ， 即 一 个 管理 人 员 与 一 个 设备 进行 交互 。 由 一 
个 人 来 配置 、 监 视 与 控制 单个 设备 是 不 够 的 ， 这 主要 是 由 两 个 原因 造成 的 。 第 一 个 原因 是 人 工 进 
行 交 互相 对 较 慢 ， 这 种 方式 无 法 适合 大 规模 的 网 络 。 第 二 个 也 是 更 重要 的 原因 是 人 容易 犯错 误 ， 
这 种 方式 无 法 保证 在 所 有 设备 上 实现 管理 策略 。 这 点 主要 表现 在 : 


全 ”在 本 书 中 ， 我 们 使 用 网 络 管理 员 这 个 术语 来 描述 从 事 网 络 管理 活动 的 人 ， 例 如 网 络 设计 、 配 置 、 运 行 、 测 试 ， 
以 及 问题 检测 或 修复 。 我 们 没有 对 network manager 与 network administrator 加 以 区 分 。 
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由 于 依赖 人 去 控制 与 测试 单个 设备 ， 当 前 用 于 网 络 管理 的 方法 对 大 型 网 络 ， 或 在 多 个 
设备 上 实现 复杂 策略 的 网 络 是 不 够 的 。 








1.7 Gartner 模型 中 的 网 络 管理 


Gartner 公司 曾经 提出 过 一 个 关于 信息 技术 处 理 的 成 熟 度 模型 s。 根 据 Gartner 模型 的 描述 ， 
anus E ee tna oo, 

。 第 1 阶段 : 被 动 的 人 工控 制 与 响应 。 

。 第 2 阶段 : 被 动 地 借助 自动 化 工具 。 

。 第 3 阶段 : 主动 地 对 问题 自动 响应 。 

。 第 4 阶段 : 适应 于 自治 系统 处 理 问 题 。 

在 Gartner 模型 的 阶段 中 ， 网 络 管理 可 以 达到 第 2 阶段 : 尽管 已 有 工具 可 以 帮 管 理 员 做 出 决 
R, 但 是 最 终 的 行动 依赖 于 管理 员 。 问 题 是 网 络 管理 如 何以 及 何 时 能 达到 第 3 阶段 。 


1.8 自动 化 的 优点 


自动 网 络 管理 具有 以 下 几 个 优点 : 

© 减少 实现 某 个 任务 所 需要 的 时 间 。 

© 减少 人 工 处 理 出 错 的 可 能 性 。 

© 保证 在 整个 网 络 中 实现 一 致 的 策略 。 

© 提供 对 改变 的 责任 制 。 [4 

减少 完成 一 个 任务 所 需 时 间 是 最 显著 的 优点 ， 而 减少 人 工 处 理 出 错 的 可 能 性 特别 重要 ， 这 
是 因为 很 多 网 络 问题 是 由 简单 错误 引起 。 人 工 处 理 出 错 也 与 第 4 项 相关 ， 如 果 策 略 的 改变 引起 了 
错误 ， 系统 记 录 所 有 改变 会 有 助 于 确定 出 错 的 原因 。 

第 3 项 的 保证 一 致 性 可 能 是 最 重要 的 。ad hoc 方法 用 于 管理 网 络 意味 着 对 一 致 性 有 较 低层 次 
保证 。 因 此 ， 即 使 是 一 个 简单 的 自动 化 系统 ， 就 算 只 能 完成 多 个 网 络 设备 的 复制 配置 ， 这 也 是 一 
件 很 有 用 的 工作 。 为 了 保证 有 意义 的 一 致 性 ， 系 统 要 处 理 的 不 只 是 重复 的 、 机 械 性 的 任务 。 也 就 
是 说 ， 有 意义 的 一 致 性 要 求人 工 完成 的 任务 自动 完成 。 


1.9 缺乏 产业 界 的 响应 


为 什么 网 络 产 业界 更 加 关注 网 络 管理 的 人 工 范 型 上 ? 为 什么 没有 开发 出 软件 系统 自动 完成 
大 部 分 管理 功能 ”我 们 将 会 看 到 这 个 问题 非常 复杂 ， 并 且 实现 自动 化 还 有 很 多 研究 要 做 。 从 科学 
的 观点 来 看 : 


网 络 管理 是 对 计算 机 网 络 了 解 最 少 的 方面 。 


我 们 还 可 以 看 到 ， 在 实现 网 络 管理 自动 化 之 前 ， 首 先 需要 改变 范 型 。 由 于 当前 的 方式 依赖 于 
人 工 智能 ， 我 们 很 难 构造 软件 来 实现 相同 的 功能 。 因 此 ， 在 我 们 创建 软件 系统 与 计算 机 程序 来 执 
行 网 络 管理 任务 之 前 ， 要 找到 新 方式 来 表示 与 存储 有 关 计 算 机 的 信息 ， 将 策略 转换 为 配置 ， 以 及 
收集 和 分 析 有 关 网 络 操 作 与 性 能 的 信息 。 


© Gartner 信息 技术 处 理 成 熟 度 模型 的 描述 可 以 在 以 下 网 址 找到 ; http: //www. gartner. com/ DisplayDocument? 
doc_ cd = 131972, 
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1.10 ”对 商业 的 影响 


. 如果 对 自动 化 管理 系统 的 研究 失败 将 会 怎样 ?” 在 商业 上 的 后 采 是 明显 的 。 随 着 网 络 规模 变 
得 越 来 越 大 ， 对 网 络 进行 管理 变 得 越 来 越 难 。 实 际 上 ， 我 们 应 该 对 网 络 规模 进行 限制 ， 以 将 它 控 
制 在 现 有 工具 可 以 处 理 的 范围 内 。 服 务 提供 商 发 现 安装 、 配 置 与 控制 设备 与 服务 是 困难 的 。 大 型 
企业 网 络 的 管理 员 会 抱怨 网 络 超过 他 们 处 理 问题 的 能 力 。 

由 于 企业 越 来 越 依赖 于 数据 网 络 作为 与 用 户 、 其 他 企业 的 主要 连接 ， 这 个 情况 变 得 更 加 严 
重 。 网 络 管理 的 一 个 特定 方面 一 网络 停机 变 得 突出 。 对 于 很 多 企业 来 说 ， 网 络 停机 或 阻塞 将 会 
造成 损失 。 具 有 讽刺 意义 的 是 ， 随 着 企业 的 发 展 与 其 网 络 达 到 一 定 的 规模 ， 用 于 诊断 与 修复 问题 
的 时 间 将 会 快速 增加 。 因 此 ， 越 成 功 的 企业 将 会 承担 越 多 的 风险 。 我 们 可 以 总 结 出 : 


由 于 企业 越 来 越 依赖 于 数据 网 络 ， 并 且 网 络 规模 接近 现 有 管理 工具 的 限制 ， 因 此 研究 


自动 网 络 管理 系统 变 得 非常 关键 。 





1.11 “分布 式 系统 与 新 的 抽象 


网 络 管理 研究 是 普通 网 络 研 究 的 一 个 部 分 。 我 们 发 现 ， 对 自动 网 络 管理 系统 的 研究 需要 了 
解 基本 网 络 之 上 的 计算 机 科学 的 几 个 方面 。 当 然 ， 这 就 需要 部 悉 各 种 网 络 设 备 与 它们 在 实际 网 
络 中 的 角色 ， 以 及 用 来 配置 这 些 设备 的 参数 。 男 和 外， 我们 需要 了 解 如 何 创建 各 种 必要 的 、 供 软件 
使 用 的 抽象 。 最 后 ， 创 建 网 络 管理 软件 需要 熟悉 大 规模 分 布 式 系统 的 概念 : 通信 应 用 、 两 阶段 提 
交 与 并 发 数据 访问 控制 。 

实际 上 ， 当 我 们 讨论 创建 网 络 管理 系统 与 网 络 管理 软件 可 能 的 体系 结构 时 ， 关 注 点 将 会 从 
网 络 与 协议 转移 到 系统 方面 。 特 别 是 ,我 们 需要 考虑 如 何 收集 与 处 理 跨越 多 个 站 点 的 管理 数据 ， 
以 及 很 多 管理 功能 都 要 使 用 的 数据 存储 技术 ， 例 如 分 布 式 数据 库 系统 。 

在 设计 自动 网 络 管理 系统 时 ， 会 遇 到 与 分 布 式 系 统 相 同 的 问题 ， 大 规模 。 包 括 很 多 设备 与 服 
务 的 大 型 网 络 会 跨越 多 个 站 点 。 例 如 ， 在 很 多 网 络 中 有 上 万 台 设 备 需 要 管理 。 更 重要 的 是 ， 大 规 
模 会 由 于 异 构 变 得 更 复杂 ， 很 多 大 型 网 络 包含 很 多 类 型 的 设备 。 


1.12 本 书 的 其 他 部 分 


本 书 分 为 三 个 部 分 。 第 一 部 分 介绍 基础 与 背景 知识 。 前 面 的 章节 描述 了 一 组 网 络 元 素 与 它们 在 
网 络 系统 中 角色 的 例子 ， 说 明了 网 络 管理 问题 的 范围 与 复杂 性 ， 以 及 对 网 络 管理 功能 的 工业 标准 定 
义 。 后 面 的 章节 将 详细 介绍 网 络 管理 的 各 个 方面 ， 并 提供 了 有 关 功 能 要 求 与 基本 特点 的 例子 。 

本 书 的 第 二 部 分 通过 研究 现 有 的 工具 与 技术 ， 将 目标 集中 在 现 有 的 网 络 管理 系统 上 。 各 章 
节 将 介绍 工具 与 用 于 管理 特定 设备 的 接口 的 演变 ， 简 单 网 络 管理 协议 的 角色 与 基本 模型 ， 以 及 
对 NetFlow 数据 的 分 析 。 第 13 章 提供 了 几 个 用 于 管理 网 络 设备 的 脚本 例子 。 

本 书 的 第 三 部 分 将 介绍 网 络 管理 的 未 来 。 各 章节 讨论 了 下 一 代 系 统 应 具有 的 特点 、 可 能 的 
体系 结构 与 在 设计 上 的 权衡 。 第 三 部 分 提出 了 一 系列 问题 与 思考 。 


1.13 总 结 


网 络 管理 是 人 类 对 网 络 了 解 最 少 的 方面 ， 并 且 是 需要 进行 深入 研究 的 课题 。 本 书 将 介绍 这 个 问 
题 ， 回 顾 已 有 的 工具 与 技术 ， 并 概括 用 于 构造 完成 自动 网 络 管理 的 软件 系统 的 可 能 体系 结构 。 








第 一 部 分 “网络 管理 的 
复杂 问题 概述 





| 
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第 2 章 ”网 络 元 素 与 服务 的 回顾 


2.1 简介 


本 章 将 给 出 理解 自动 网 络 管理 所 需 的 基本 背景 知识 。 本 章 将 提供 各 种 网 络 设备 的 例子 ， 它 
们 用 于 创建 网 络 及 网 络 提供 的 服务 。 本 章 还 将 回顾 基本 功能 与 某 些 参数 ， 这 些 参数 供 管理 员 配 
置 设备 与 服务 时 选择 。 后 面 的 章节 将 会 继续 这 个 讨论 ， 探 讨 网 络 管理 的 不 同方 面 如 何 应 用 于 现 
有 的 系统 。 

本 章 的 重点 不 仅 是 介绍 网 络 设备 与 服务 ， 或 是 描述 每 种 系统 如 何 处 理 数 据 包 。 我 们 更 应 该 
注意 网 络 管理 的 相关 方面 。 也 就 是 说 ， 我 们 将 重点 理解 需要 管理 的 组 成 部 分 、 设 备 与 机 制 。 例 
如 ， 管 理 员 在 初始 化 与 控制 操作 时 配置 的 参数 ， 或 管理 员 要 求 测试 状态 时 需要 的 信息 。 


2.2 网 络 设备 与 网 络 服务 


管理 的 项 目 可 以 分 为 两 类 : 网 络 设备 〈 构 成 网 络 基础 设施 的 硬件 设备 ) 与 网 络 服务 (使 用 
基本 硬件 ) 。 服 务 可 以 分 为 三 种 类 型 : 

e 应 用 服务 

© 通用 基础 设施 服务 

e 配置 服务 

应 用 服务 (例如 电子 邮件 与 Web 服务 ) 通常 由 软件 实现 ， 软 件 运行 在 一 般 用 途 的 计算 机 中 
(例如 运行 在 Linux 系统 上 的 电子 邮件 服务 器 ) 。 通 用 基础 设施 服务 包括 多 种 机 制 ， 例 如 处 理 名 字 
转换 的 域名 系统 (DNS) 、 完 成 启动 时 的 地 址 分 配 的 动态 主机 配置 协议 (DHCP) 与 完成 通信 实 
体验 证 的 认证 服务 。 最 后 ， 配 置 服务 允许 管理 员 执行 全 局 策略 。 典 型 的 配置 服务 执行 端 到 端 操作 
(穿越 整个 网 络 ) ， 而 不 是 在 某 个 设备 内 部 或 某 个 点 上 执行 。 例 如 ， 配 置 服务 包括 以 下 功能 : 端 
到 端的 多 协议 标记 交换 (MPLS) 隧道 与 在 企业 网 中 为 语音 通信 设置 优先 级 的 所 有 路 由 器 配置 。 
2.3 网 络 元 素 与 元 素 管 理 

为 了 精确 起 见 ， 同 时 避免 混淆 ， 网 络 管理 系统 使 用 通用 术语 网 络 元 素 ， 以 表示 那些 可 以 被 管理 的 
网 络 设备 或 机 制 ” 。 我 们 认为 ， 每 个 网 络 元 素 是 一 个 独立 实体 ， 可 以 对 它 进 行 配 置 与 控制 而 不 影响 其 
他 元 素 。 术 语 网 络 元 素 管 理 (element management ) 表示 对 某 个 网 络 元 素 的 配置 与 操作 。 特 别 要 注意 


昌 ”一 些 供应 商 将 MPLS 隧道 区 分 为 传输 服务 ， 而 不 是 常用 的 配置 服务 。 
© 尽管 我 们 倾向 于 将 网 络 元 素 认为 是 设备 ， 但 这 个 定义 有 时 被 扩展 到 那些 集成 在 基础 设施 中 的 服务 〈 例 如 DNS 
+5 DHCP), 
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的 是 ， 如 果 元 素 管理 被 使 用 ， 管 理 员 创建 一 个 端 到 端 服务 时 ， 需 要 配置 路 径 上 的 所 有 网 络 元 素 。 

元 素 管理 与 服务 管理 之 间 存 在 紧密 的 关系 。 例 如 ， 一 个 Web 服务 器 应 用 运行 在 一 台 计 算 机 
系统 上 ， 管 理 员 需要 控制 Web 服务 器 程序 与 下 层 的 硬件 系统 。 因 此 ， 管 理 员 可 以 重新 局 动 Web 
服务 器 程序 或 下 层 的 计算 机 系统 。 


2.4 物理 结构 对 管理 的 影响 


尽管 我 们 认为 网 络 元 素 在 逻辑 上 独立 ， 而 元 素 管 理 是 指定 给 定 元 素 的 角色 ， we mem 
理 结构 会 影响 管理 者 的 处 理 。 我 们 通过 分 析 电 路 复 用 来 理解 其 中 的 原因 。 在 茶 些 情况 下 ， 当 管 
员 租 用 一 条 数字 电路 时 ， 运 营 商 会 安装 一 条 从 源 到 目的 端的 物理 传输 介质 〈 例 如 承载 Tl path 
一 组 铜 缆 ) 。 在 大 多 数 情况 下 ， 运 营 商 使 用 时 分 多 路 复 用 (Time Division Multiplexing, TDM) 
技术 通过 多 条 电路 传输 数据 ， 这 些 电 路 实际 上 使 用 的 是 同一 条 传输 介质 (例如 多 条 电路 在 一 条 
光纤 上 复 用 ) 。 如 果 了 解 多 条 电路 通过 一 条 传输 介质 复 用 的 原理 ， 管 理 员 就 能 更 好 地 理解 并 诊断 
出 间 题 。 例 如， 如 果 复 用 在 一 条 光纤 上 的 所 有 电路 失效 ， 管 理 员 就 可 以 很 容易 发 现 是 光纤 ， 而 不 
是 单条 电路 出 现 问 题 。 

网 络 组 成 部 分 的 物理 结构 也 与 网 络 管理 相关 。 例 如 ， 理 解 哪些 网 络 组 成 单元 位 于 独立 的 机 
柜 中 ， 哪 些 以 刀片 (blade) 形式 (例如 印刷 电路 板 ) 位 于 设备 中 可 以 帮助 管理 员 ， 原 因 有 两 个 。 
首先 ， 当 网 络 设备 发 生 故 障 时 ， 理 解 物 理 结构 可 以 帮助 管理 员 判 断 原 因 (电源 故障 会 导致 机 箱 
中 的 所 有 刀片 式 设 备 失 效 ， 而 刀片 式 设备 故障 只 会 影响 目 身 ) 。 其 次 ， 这 样 可 以 实现 管理 整个 机 
箱 而 不 只 是 一 个 刀片 式 设 备 〈 通 过 一 个 命令 关闭 所 有 刀片 式 设备 ， 而 不 是 通过 多 个 命令 关闭 多 
个 刀片 式 设备 ) 。 因 此 ， 研 究 网 络 管理 系统 不 能 忽略 物理 结构 。 


2.5 网 络 元 素 与 服务 的 例子 


下 一 节 将 讨论 可 以 被 管理 的 网 络 元 素 与 服务 的 例子 : 

e 基本 以 太 网 交换 机 

© 虚拟 局 域 网 交换 机 

© 无 线 局 域 网 的 接 入 点 

e 22445 Modem 系统 

è DSL Modem 与 DSLAM 

e。 广 域 数字 连 搂 (CSU/DSU) 

o 信道 处 理 单 元 

o IP 路 由 器 

© 防火 墙 

© DNS 服务 器 

e DHCP AR 4-45 

© Web 服务 器 

o HTTP 负载 均衡 大 

本 书 将 介绍 每 种 网 络 元 素 与 服务 的 角色 ， 给 出 网 络 管理 系统 的 可 见 项 以 及 可 以 配置 〈《 即 改 
变 ) 的 所 有 参数 。 这 些 例 子 用 来 说 明 被 管理 设备 间 存 在 的 差异 ， 以 及 被 管 项 在 协议 栈 不 同 层次 
的 表现 〈 不 包括 明确 的 细节 ”) 。 因 此 ， 尽 管 我 们 选择 在 实际 网 络 中 常见 网 络 元 素 与 典型 被 管 项 ， 
但 在 商用 产品 中 仍然 会 包括 没有 列 出 的 配置 参数 ， 以 及 在 命名 或 说 明 上 不 同 的 参数 。 


全 ”协议 层次 的 背景 知识 见 Comer [2006 ] 。 
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2.6 基本 以 太 网 交换 机 


基本 以 太 网 交换 机 (又 称 为 第 2 层 交 换 机 ) 构成 局 域 网 (LAN) 的 中 心 。 以 太 网 交换 
机 是 管理 起 来 最 直观 的 设备 。 由 于 硬件 会 自动 完成 琐碎 的 配置 工作 ， 因 此 交换 机 很 少 甚至 
不 需要 进行 配置 。 例 如 ， 以 太 网 标准 规定 一 个 设备 连接 到 交换 机 时 ， 交 换 机 要 检测 连接 并 
磋商 数据 传输 速率 ， 并 选择 两 端 都 能 够 支持 的 最 大 速率 。 因 此 ， 数 据 传输 速率 不 需要 人 工 
进行 配置 ”。 与 此 相似 ,管理 员 不 需要 配置 连接 设备 的 MAC 地址 〈 即 以 太 网 地 址 ) ， 这 是 
因为 交换 机 会 检测 到 达 的 每 个 连接 的 帧 的 源 地 址 ， 并 记录 在 连接 中 可 到 达 的 计算 机 的 MAC 
地 址 。 

我 们 总 结 一 下 基本 以 太 网 交换 机 : 

用 途 

在 一 组 直接 连接 的 设备 之 间 提供 数据 包 转 发 功能 。 

结构 

典型 结构 是 一 个 独立 的 、 带 有 多 个 物理 端口 (数量 通常 在 16 ~ 256 之 间 ) 的 设备 ， 每 个 端 
口 可 以 连接 其 他 设备 (通常 是 计算 机 或 路 由 器 )。 

注意 

当 一 个 设备 连接 到 一 个 端口 时 ， 两 端 可 以 自动 协商 可 用 的 数据 传输 速率 。 

可 配置 参数 

每 个 端口 可 以 设置 为 可 用 或 不 可 用 即 管 理 员 可 以 阻止 一 个 端口 的 通信 ) 。 管 理 员 可 以 设置 
端口 的 速率 与 全 双 工 ， 并 重新 设置 数据 包 计数 器 。 

可 得 到 的 值 

交换 机 的 类 型 与 性 能 (品牌 与 型 号 、 端 口 数量 与 端口 的 最 大 速率 )， 每 个 端口 的 状态 (可 用 
或 不 可 用 、 设 备 是 否 连 接 、 当 前 的 速率 ) ， 连 接 到 端口 的 所 有 设备 的 地 址 ， 最 后 一 次 重启 的 时 
间 ， 认 证 《序列 号 与 硬件 版 本 ) ， 发 送 与 接收 的 数据 包 与 检测 到 错误 的 数量 。 


2.7 虚拟 局 域 网 交换 机 


虚拟 局 域 网 交换 机 (VLAN Switch) 以 一 种 重要 方式 扩展 了 第 2 层 交 换 技 术 : 它 人 允许 管理 员 
将 端口 分 配 到 不 同 的 广播 域 ， 每 个 广播 域 就 是 一 个 虚拟 局 域 网 (VLAN) 。 从 数据 包 处 理 的 角度 
来 看 ， 虚 拟 局 域 网 的 定义 是 直观 的 : 当 连 接 的 设备 发 送 一 个 帧 到 广播 地 址 (broadcast address) , 
交换 机 将 帧 的 副本 转发 给 与 发 送 者 位 于 同一 虚拟 局 域 网 中 的 所 有 其 他 端口 。 因 此 ， 虚 拟 局 域 网 
交换 机 就 像 是 一 组 独立 的 第 2 层 交 换 机 在 工作 。 

用 途 | 

在 直接 连接 的 设备 的 子 集中 提供 数据 包 转 发 功能 。 

结构 

典型 结构 是 一 个 独立 的 、 带 有 多 个 物理 端口 (数量 通常 在 16 ~ 256 之 间 ) 的 设备 ， 每 个 端 
口 可 以 连接 其 他 设备 〈 通 常 是 计算 机 或 正路 由 器 ) 。 

注意 

通过 日 动 协商 来 决定 可 用 的 数据 传输 速率 〈 与 第 2 层 交 换 机 类 似 ) 。 只 转发 广播 帧 到 位 于 同 


”尽管 可 以 配置 数据 传输 速率 ， 但 如 果 一 端 采 用 固定 的 速率 而 另 一 端 试 图 自动 配置 ， 这 时 就 会 出 现 问题 。 
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一 虚拟 局 域 网 中 的 端口 ?。 

可 配置 参数 

”除了 基本 以 太 网 交换 机 的 参数 之 外 ， 每 个 端口 可 以 分 配给 特定 的 虚拟 局 域 网 (用 数字 1、2、 
3、… 表 示 )。 | 

可 得 到 的 值 | 


基本 以 太 网 交换 机 中 分 配 到 虚拟 局 域 网 的 端口 ， 以 及 每 个 虚拟 局 域 网 的 通信 量 与 错误 统计 。 
2.8 无 线 局 域 网 的 接 入 点 


无 线 局 域 网 技术 (例如 IEEE 802.11b) 为 一 组 计算 机 提供 无 线 网 络 连 接 。 一 种 称 为 接 入 点 
(access point) 的 设备 提供 无 线 设备 与 有 线 网 络 之 间 数 据 包 转 发 。 在 使 用 无 线 局 域 网 的 办 公 建 筑 
物 中 采用 多 个 接 人 上 点， 每 个 接 人 点 覆盖 建筑 物 的 一 个 部 分 。 

用 途 

为 一 组 计算 机 (潜在 的 移动 设备 ) 提供 无 线 访 问 。 

结构 

典型 结构 是 独立 的 系统 通过 局 域 网 连接 到 无 线 网 络 。 

注意 

每 个 接 人 点 都 有 一 个 称 为 服务 区 标识 符 (Service Set IDentifier, SSID) 的 名 字 。 只 有 数据 包 
头 部 中 的 SSID 与 接 人 点 的 SSID 匹配 时 ， 接 人 点 才 会 接收 进入 的 数据 包 。 

可 配置 参数 

可 以 修改 接 人 点 接收 的 SSID ， 管 理 员 可 以 决定 访问 点 是 否 广播 包含 SSID 的 通告 (潜在 客户 
并 通过 通告 自动 获得 SSID); 可 以 修改 使 用 的 安全 标准 ， 例 如 有 线 等 效 保密 〈(WEP) 协议 ; 可 
以 修改 接 和 人 点 在 有 线 网 络 中 的 IP 地 址 。 

可 得 到 的 值 

当前 被 分 配给 接 入 点 的 SSID、IP 地 址 、 当 前 与 接 入 点 有 关 的 无 线 客户 端 数 、 每 个 关联 的 客 
户 端 的 MAC 地 址 。 


2.9 线 绕 Modem 系统 


线 绕 Modem 系统 使 用 线 缆 服务 接口 数据 规格 (Data Over Cable Service Interface Specifica- 
tion, DOCSIS) 技术 ， 它 是 由 CableLabs 公司 开发 的 ， 用 来 在 有 线 电 视 网 络 (最 初 用 于 通过 同 轴 
电缆 传输 广播 电视 信号 ) 中 为 用 户 提供 Internet 服务 。 尽 管 数据 通信 可 以 与 电视 信和 号 在 同一 铜 缆 
中 传输 ， 但 是 两 者 的 工作 频率 是 不 同 的 。 因 此 ， 数 据 服务 与 广播 电视 服务 可 以 分 别管 理 。 

用 途 

通过 同 轴 电 缆 为 一 组 用 户 提供 Internet 访问 ， 该 电缆 还 用 于 传输 广播 电视 信和 号。 

结构 | 

28 9 Modem 终端 系统 (Cable Modem Termination System, CMTS) 位 于 提供 商 的 中 心机 房 ， 
它 连接 到 Internet 并 且 包 含 多 个 前 端 Modem， 每 个 前 端 Modem 可 以 与 一 个 位 于 客户 位 置 的 末端 
Modem 通信 。 

注意 

一 个 CMTS 可 以 支持 最 多 5000 个 末端 Modem。 线 缆 Modem 技术 传输 以 太 网 帜 . (第 2 层 


”从 理论 上 来 说 ， 虚 拟 局 域 网 交换 机 不 提供 不 同 虚拟 局 域 网 之 间 的 通信 。 但 实际 上 ， 很 条 交 换 机 会 转发 那些 
MAC 地 址 有 效 的 单 播 帧 。 
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帧 )， 这 些 用 户 位 于 独立 的 物理 网 络 中 。 

可 配置 参数 

在 CTMS 中 ,信息 可 以 传输 到 特定 的 前 端 Modem; 可 以 由 用 户 指定 最 大 用 户 数 与 每 个 用 户 
的 最 大 数据 传输 速率 ; 可 以 设置 过 滤器 允许 或 拒绝 某 种 类 型 的 数据 ; 数据 包 计 数 器 可 以 重新 
设置 。 

可 得 到 的 值 

活跃 的 用 户 数量 、 每 个 用 户 的 最 大 数据 传输 速率 与 当前 状态 (可 用 或 不 可 用 )、 发 送 /接收 
与 发 生 错 误 的 数据 包 的 数量 。 可 以 获得 每 个 前 端 Modem 的 MAC 地 址 ， 也 可 以 获得 Modem 与 用 
户 计算 机 之 间 的 连接 状态 。 


2.10 DSL Modem 系统 与 DSLAM 


电话 公司 使 用 数字 用 户 线路 (Digital Subscriber Line, DSL) 技术 ， 通 过 铜 缆 为 一 组 用 户 提 
{it Internet 服务 ， 该 铜 缆 通 常用 于 语音 电话 服务 。 由 于 DSL 与 语音 服务 使 用 的 频率 不 同 ， 因 此 数 
据 服 务 与 语音 服务 可 以 分 别管 理 。 

用 途 

通过 同 轴 电 缆 为 一 组 用 户 提供 Internet 访问 ,该 电缆 还 用 于 传输 语音 电话 信号 。 

结构 

Miši Modem 位 于 电话 公司 的 中 心机 房 ， 它 连接 到 被 称 为 DSL 接 入 复 用 器 (DSL Access Mul- 
tiplexor, DSLAM) 的 设备 上 ， 并 且 通 过 电话 线路 连接 到 个 人 用 户 。DSLAM 通常 使 用 ATM 连接 
到 ISP 的 网 络 ， 用 来 将 用 户 的 数据 包 转 发 到 目的 地 。 对 于 每 个 用 户 ， 未 端 Modem 将 电话 线 与 用 
户 计算 机 连接 ， 并 像 桥 一 样 将 数据 包 通过 DSL 转发 出 去 。 


注意 
从 理论 上 来 说 ， 每 个 用 户 需 要 一 个 前 端 Modem。 
可 配置 参数 


在 前 端 Modem 中 ， 管 理 员 可 以 为 用 户 设置 最 大 数据 传输 速率 ， 也 可 以 重新 设置 数据 包 计 数 
器 。 一 个 DSLAM 可 以 配置 为 ATM 连接 〈 虚 电路 ) ， 每 个 ATM 连接 通 同 不 同 目的 地 ( 通 篆 为 
ISP) 。 每 个 用 户 的 Modem BUS ASE ATM 连接 的 映射 。 

可 得 到 的 值 

对 于 前 端 Modem 来 说 ， 是 否 正 在 接收 未 端 Modem 的 信号 、 最 大 数据 传输 速率 与 发 送 /接收 
的 数据 包 (或 信 元 ) 的 数量 。 对 于 DSLAM 来 说 ，ATM 连接 的 当前 配置 与 用 户 线路 到 ATM 连接 
的 映射 。 


2.11 用 于 广 域 数 字 线 路 的 CSU/DSU 


ISP 与 大 公司 使 用 租赁 的 数字 线路 来 提供 远 距 离 的 连接 。 从 逻辑 上 来 看 ， 数 字 线 路 末端 使 用 
的 硬件 分 为 两 个 部 分 。 从 物理 上 来 看 ， 这 两 个 部 分 通常 位 于 一 个 设备 中 (通常 是 插入 交换 机 或 
路 由 器 的 小 型 电路 板 ) 。 这 个 设备 称 为 信道 服务 单元 /数据 服务 单元 (CSU/DSU)。 

CSU/DSU 可 以 视 为 用 于 模拟 线路 的 Modem。 但 是 ， 除 了 对 传输 数据 进行 编码 之 外 ，CSU/ 
DSU 隔离 租赁 线路 以 防止 电压 峰值 或 类 似 问 题 。 管 理 员 可 以 要 求 CSU/DSU 执行 诊断 测试 以 发 现 
问题 。 | 

用 途 

提供 计算 机 设备 与 租赁 的 数字 线路 之 间 的 接口 。 


18 | 


19 | 
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结构 

一 个 小 型 的 独立 设备 或 一 个 插入 交换 机 或 路 由 器 的 电路 板 。 

注意 

CSU/DSU 可 能 具有 模块 化 的 接口 (moded interface) ， 管 理 员 通过 它 选 择 进行 标准 数据 传输 
或 诊断 ， 但 是 这 两 种 操作 不 能 同时 进行 。 

可 配置 参数 

有 些 CSU/DSU 设备 采用 固定 的 数据 传输 速率 ， 另 一 些 设备 需要 为 租赁 的 线路 配置 数据 传输 
速率 。 管 理 员 可 以 将 诊断 测试 设置 为 可 用 或 不 可 用 。 

可 得 到 的 值 

CSU/DSU 可 以 报告 当前 的 线路 状态 ， 其 他 端点 是 否 可 以 应 答 ， 以 及 诊断 测试 的 结果 。 


2.12 信道 处 理 单元 库 


信道 处 理 单元 库 (channel bank) 由 公用 电话 服务 商 或 其 他 的 提供 商 使 用 ,终结 来 自用 户 的 
数字 线路 并 将 它们 复 用 成 高 速 数 字 线 路 。 这 个 名 字源 于 一 个 单元 处 理 一 组 线路 。 

用 途 

服务 提供 商 通 过 它 终结 一 组 来 自 不 同 用 户 的 数字 线路 连接 。 

结构 

处 理 很 多 不 同 连 接 的 机 架 安 装 单元 。 

注意 

香道 处 理 单元 库 采 用 时 分 多 路 复 用 将 不 同 线路 组 合成 一 条 高 速 线路 。 例 如 ,将 24 条 Tl 线路 
复 用 成 1 条 T3 线路 。 

可 配置 参数 

它 主 要 包括 2 类 参数 : 单个 线路 的 相关 参数 ， 整 个 信道 处 理 单元 库 与 高 速 上 行 线路 的 相关 参 
数 。 单 个 连接 与 上 行 连接 可 以 设置 为 可 用 或 不 可 用 。 


可 得 到 的 值 
信道 处 理 单 元 库 可 以 报告 单个 线路 与 上 行 连接 的 状态 与 运行 时 间 。 
2.13 IP 路 由 器 


IP 路 由 器 (IP router) 是 用 来 将 多 个 网 络 连接 成 一 个 互联 网 的 基本 设备 。 每 个 路 由 器 互 连 多 
个 网 络 ( 可 以 是 异 构 )， 并 在 不 同 网 络 之 间 转 发 P 数据 包 。 

用 途 

连接 2 个 或 多 个 网 络 以 形成 一 个 互联 网 。 

结构 

可 以 单独 管理 的 独立 设备 。 

注意 

我 们 使 用 接口 (interface) 这 个 术语 来 表示 路 由 器 中 连接 一 个 网 络 的 硬件 。 路 由 器 包含 多 个 
接口 ， 并 在 不 同 接口 之 间 转 发 数据 报 。 

可 配置 参数 

每 个 接口 可 以 分 配 一 个 32 位 的 IP 地 址 与 一 个 32 位 的 地 址 掩 码 ; 每 个 接口 可 以 设置 为 可 用 
或 不 可 用 ; 可 以 配置 的 路 由 ; 可 以 配置 的 特定 路 由 协议 ; 数据 包 计 数 器 可 以 重新 设置 。 
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可 得 到 的 值 
路 由 融 的 接口 数量 ， 每 个 接口 的 当前 状态 ， 分 配给 每 个 接口 的 IP 地 址 与 地 址 掩 码 ， 发 送 与 
接收 的 数据 包 数 量 ， 以 及 发 送 与 接收 的 卫 数据 包 数 量 。 


2.14 BRA 


安全 防火 墙 (firewall) 通常 位 于 全 球 性 的 Internet 与 一 个 组 织 的 互联 网 之 间 ， 以 阻止 那些 未 
经 授权 的 通信 。 

用 途 

通过 按 一 组 规则 过 滤 数 据 报 来 保护 一 个 组 织 的 网 络 安全 。 

结构 

通 帝 由 一 个 路 由 需 来 实现 ， 可 能 是 运行 在 路 由 器 的 CPU 上 的 软件 ， 或 是 安装 在 路 由 器 中 的 
人 硬件 (独立 的 电路 板 )。 

注意 

现代 的 防火 墙 是 有 状态 的 (stateful1) ， 它 可 以 记录 输出 的 连接 ， 自 动 接收 对 现 有 连接 的 响应 
数据 包 。 

可 配置 参数 

管理 员 必 须 建立 一 组 规则 ， 以 明确 指定 允许 哪些 数据 包 ， 拒 绝 哪 些 数据 包 。 管 理 员 可 以 重新 
设置 数据 包 计 数 上 能， 也 可 以 临时 将 数据 包 传 输 设置 为 不 可 用 。 

可 得 到 的 值 

当前 存在 的 一 组 过 滤 规 则 ， 输 入 与 输出 的 数据 包 数 量 ， 以 及 防火 墙 在 每 个 方向 上 拒绝 的 数 
据 包 数 量 。 


2.15 DNS Rose 


尽管 大 多 数 DNS 服务 器 会 在 几 周 或 几 个 月 内 稳定 运行 ， 但 是 DNS 服务 器 最 初 需要 进行 配 
置 ， 并 在 加 入 新 计算 机 或 现 有 计算 机 离开 时 需要 改变 。 


用 途 

为 计算 机 提供 一 个 名 字 ’ 并 将 名 = DRY Bl) IP 地 址 。 
结构 

每 个 DNS 服务 名 作 为 一 个 独立 实体 运行 。 

注意 


DNS 服务 器 中 的 每 项 〈 称 为 资源 记录 ) 包含 一 个 生存 时 间 (Time-To-Live, TTL) 值 ， 以 
指出 该 项 开始 使 用 的 时 间 。 

可 配置 参数 

递归 请 求 的 一 个 服务 器 地 址 与 这 个 服务 器 的 一 组 资源 记录 ; 每 个 资源 记录 包含 名 字 、 类 型 
(类 型 A 表示 该 值 是 包 地 址 )、 值 与 TTL。 

可 得 到 的 值 

管理 员 可 以 检索 服务 器 中 指定 的 资源 记录 或 所 有 资源 记录 。 


2.16 DHCP ARZA — 


与 DNS 服务 器 相似 ， 动 态 主机 配置 协议 (Dynamic Host Configuration Protocol, DHCP) fk 
Sate EN AGE, MANGE MECHEL. RAE 卫 子 网 地 址 重新 分 配 时 ， 才 需要 
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改变 DHCP AR as Ac E o 

用 途 

当 与 一 台 主 机 进行 通信 和 时， 自动 提供 IP 地 址 与 所 需 的 其 他 信息 《在 主机 局 动 时 使 用 ) 。 

结构 

DHCP 服务 器 可 以 运行 在 独立 的 计算 机 或 路 由 器 中 ; 它 作为 一 个 独立 实体 来 进行 管理 。 

注意 

DHCP 服务 器 可 以 配置 为 提供 多 个 下 子 网 的 地 址 ; 路 由 器 可 以 将 远程 网 络 中 主机 的 请 求 转 
发 给 服务 器 ， 也 可 以 将 服务 器 的 响应 转发 给 主机 。 一 台 服 务 器 是 指 租用 (lease) 一 个 地 址 的 主 
机 ; 服务 器 指定 地 址 租用 的 最 长 时 间 ， 并 且 人 允许 主机 在 到 期 后 重新 租用 地 址 。 

可 配置 参数 

服务 器 可 以 处 理 的 一 组 子 网 ， 每 个 子 网 中 有 效 的 王 地 址 、 地 址 掩 码 与 租用 期 ， 租 用 期 是 否 
可 以 更 新 ， 以 及 包含 在 响应 中 的 其 他 信息 。 很 多 服务 器 允许 管理 员 为 不 同 主机 指定 参数 ， 以 保证 
寺 定 计算 机 总 使 用 同一 他 地 址 。 

可 得 到 的 值 

当前 活动 的 子 网 数量 ， 每 个 子 网 中 使 用 的 IP 地 址 与 子 网 掩 码 ， 地 址 的 租用 期 与 更 新 状态 ， 
每 个 响应 中 包含 的 附加 信息 ， 以 及 子 网 中 当前 已 分 配 的 地 址 。 上 服务 器 可 以 提供 到 达 每 个 子 网 的 
请 求 计 数 。 


2.17 Web RSA 


作为 一 种 最 著名 的 Internet 应 用 ，WWW 在 Internet 通信 中 占 显 著 的 比例 。 从 技术 上 来 看 ， 
Web 服务 器 是 一 个 运行 的 进程 。 但 是 ， 网 络 产 业界 使 用 服务 器 (server) 这 个 术语 表示 用 来 运行 
服务 器 进程 的 硬件 (一 台 PC 或 Sparc AIER ) o 

用 途 

提供 可 以 在 浏览 器 中 显示 的 网 页 副本 。 

结构 

在 理论 上 ， 运 行 Web 服务 器 的 处 理 器 也 可 以 运行 其 他 服务 器 。 在 实际 上 ， 很 少 有 管理 员 在 
一 个 硬件 设备 中 运行 多 种 类 型 的 服务 器 。 硬 件 成 本 低 意 味 着 一 个 处 理 屡 可 以 专用 于 一 个 服务 器 。 

注意 

DLP IBY 2. 18 Wi, 

可 配置 参数 

Web 服务 器 可 以 将 HTTP 请 求 中 的 名 字 上 映射 成 保存 该 项 目的 文件 名 (文件 系统 中 的 路 径 ) 。 
对 应 于 页 面 的 HTTP 请 求 是 由 命令 生成 ， 请 求 中 的 名 字 需 要 映射 到 一 个 程序 上 ， 这 个 程序 运行 服 
务 器 进程 来 生成 页 面 〈( 按 照 惯例 ， 要 为 程序 指定 一 个 名 称 ， 例 如 cgi-bin) 。 服 务 器 也 可 以 对 用 户 
进行 身份 认证 ， 或 使 用 加 密 以 保护 特定 页 面 的 安全 。 最 后 ， 管 理 员 可 以 重新 设置 用 于 统计 报告 的 
计数 器 。 

可 得 到 的 值 

Web 服务 器 需要 保存 统计 信息 ， 例 如 接收 的 请 求 数 量 、 错 误 数 量 与 以 及 传输 的 字 节 数 。Web 
服务 器 需要 维护 一 个 活动 的 日 志 。 


2.18 HTTP 负载 均衡 器 
负载 均衡 器 是 一 个 大 容量 Web 站 点 的 必要 组 成 部 分 。 负 载 均 衡器 位 于 一 组 〈 相 同 的 ) Web 
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服务 器 的 前 端 ， 将 接收 到 的 请 求 分 配给 不 同 的 服务 器 。 因 此 ， 如 果 站 点 中 包含 和 NN 个 服务 器 ， 每 
个 服务 器 大 约 要 处 理 17N 的 请 求 。 

用 途 

允许 Web 站 点 将 接收 到 的 HTTP 请 求 分 配给 一 组 服务 恬 。 

结构 

使 用 一 个 独立 的 设备 ， 该 设备 可 以 单独 管理 。 

注意 

负载 均衡 器 可 以 使 用 第 2 层 或 第 3 层 协议 与 服务 器 通信 。 对 于 第 3 层 协议 来 说 ， 负 载 均 衡器 
的 行为 与 网 络 地 址 转换 器 (Network Address Translator, NAT) 相似 。 

可 配置 参数 

管理 员 可 以 配置 服务 妖 数 量 与 每 个 服务 器 的 地 址 。 一 - 些 负载 均衡 胡 可 以 接受 这 样 的 规定 ， 
将 茶 些 特定 请 求 分 配给 服务 郑 的 一 个 给 定子 集 〈 例 如 ， 在 只 有 一 个 服务 器 的 子 集 能 够 动态 生成 
页 面 的 情况 下 就 需要 这 样 做 ) 。 管 理 员 可 以 重新 设置 数据 包 计 数 器 。 

可 得 到 的 值 

人 负载 均衡 器 的 当前 配置 ， 发送 与 接收 的 特定 数据 包 数 量 ， 处 理 的 请 求 数量 与 发 送 给 每 个 服 
务 器 的 请 求 数量 。 


2.19 ”总 结 


网 络 管理 包括 两 大 类 : 服务 与 网 络 元 素 。 服 务 包 括 应 用 (例如 电子 邮件 )、 基 础 设施 (例如 
DNS) 与 配置 服务 (例如 为 通过 整个 网 络 的 语音 通信 分 配 优先 级 )。 

网 络 元 素 是 一 个 可 以 管理 的 设备 ， 它 独立 于 其 他 网 络 设备 。 元 素 管 理 要 求 管理 员 某 一 时 刻 
只 能 控制 一 个 元 素 。 尽 管 网 络 元 素 在 逻辑 上 是 独立 的 ,但 是 物理 结构 也 与 元 素 管理 相关 ， 了 解 物 
理 结构 将 使 控制 与 故障 诊 渐 变 得 容易 。 

我 们 回顾 了 几 种 网 络 元 泰 与 服务 ,给 出 了 管理 员 可 以 配置 的 参数 与 值 的 例子 。 我 们 的 结论 
是 网 络 管理 包括 各 种 可 管理 的 实体 ， 每 种 实体 都 提供 可 以 配置 或 查询 的 特定 值 。 


22 | 


|23 | 


24 


25 


第 3 章 网 络 管理 的 问题 


3.1 简介 


在 前 一 章 中 ， 我 们 介绍 了 可 管理 实体 的 两 个 主要 范畴 : 网 络 服务 和 网 络 元 聚 。 本 章 将 介绍 与 
这 两 个 范畴 中 的 项 目 有 关 的 实例 ， 同 时 在 每 一 个 实例 中 都 会 列 出 管理 员 可 以 配置 和 检查 的 参数 。 

本 章 将 会 继续 给 出 一 些 基 本 术语 的 定义 ， 并 且 介 绍 网 络 管理 问题 的 特征 。 我 们 将 对 被 管理 
的 网 络 进行 描述 ， 讨 论 网 络 的 规模 和 范围 ， 以 及 管理 任务 的 复杂 程度 。 最 后 ， 我 们 将 介绍 建立 自 
动 网 络 管理 系统 的 需求 。 下 一 章 我 们 将 对 网 络 管理 的 各 个 方面 进行 详细 的 讨论 。 


3.2 什么 是 网 络 管理 


网 络 管 理 这 一 概念 的 出 现 是 源 于 自动 系统 不 能 完成 一 些 困难 的 、 模 糊 的 或 复杂 的 任务 。 也 
就 是 说 ， 网 络 管理 这 一 概念 强调 对 人 类 干预 行为 的 需求 。 网 络 管理 活动 是 在 日 动 系统 无 法 适应 
的 环境 下 开展 的 。 因 为 在 这 种 环境 中 只 有 借助 人 类 的 判断 才能 够 完成 任务 。 

我 们 可 以 采取 更 加 乐观 的 方法 ， 并 且 认 为 人 们 对 网 络 管理 的 需求 仅仅 是 源 于 自身 的 无 知 。 
在 编号 本 书 的 过 程 中 ， 一 名 工程 师 就 建议 我 最 好 这 样 来 描述 网 络 管理 : “在 设计 和 运行 一 个 网 络 
的 过 程 中 ,无 人 能 够 实现 自动 化 的 方方面面 。 这 位 工程 师 认 为 ， 一旦 某 人 发 明了 一 项 能 够 使 某 
一 网 络 管理 任务 自动 化 的 技术 ， 那 么 供应 商 就 会 将 这 项 技术 整合 到 自己 的 产品 中 。 同 时 ， 这 也 标 
志 着 这 项 管理 任务 不 再 补 划 分 到 网 络 管理 员 的 工作 范畴 了 o 

遗憾 的 是 ， 网 络 管理 涵盖 了 网 络 活动 的 方方面面 ， 我 们 不 能 用 一 个 简短 的 定义 来 描述 它 。 因 
此 ， 我 们 打算 用 一 些 直 观 的 概念 和 例子 来 对 网 络 管理 这 一 概念 进行 解释 和 阐述 。 从 直观 上 看 : 








网 络 管理 包括 与 网 络 的 规划 、 部 署 、 配 置 、 运 行 、 监 控 、 优 化 、 修 复 以 及 改变 有 关 的 
任务 。 











正如 我 们 将 要 看 到 的 ， 我 们 的 直观 定义 隐 含 了 许多 细节 ， 并 且 没 有 对 网 络 管理 活动 的 本 质 
与 困难 做 出 具体 的 解释 。 


3.3 网 络 管理 的 范围 


网 络 的 边界 在 哪 虫 呢 ? 这 个 看 似 苑 座 的 问题 却 道 出 了 网 络 管理 的 关键 。 因 为 问题 的 答案 可 
以 帮助 我 们 定义 网 络 管理 的 责任 范围 。 也 就 是 说 ， 一 旦 知道 了 一 个 网 络 是 从 哪里 开始 又 是 在 哪 
里 终止 的 ， 我 们 就 可 以 划 定 网 络 管理 的 界限 。 如 果 超 过 了 这 一 界限 ， 网 络 管理 员 将 不 再 拥有 权限 
和 控制 力 。 

从 表面 上 看 ， 网 络 在 它 的 最 未 端的 网 络 系统 处 终止 。 但 是 ， 这 并 不 是 因为 终端 用 户 系统 积极 
地 加 入 到 网 络 中 来 。 事 实 上， 将 网 络 知 能 化 作为 重要 的 内 容 已 经 成 为 基于 TCP/IP 协议 的 Internet 
的 基本 原则 之 一 。 


在 基于 TCP/IP 的 网 络 中 ， 内 部 的 网 络 相对 来 说 比较 简单 ; 智能 和 应 用 程序 服务 都 集 





中 在 终端 用 户 系统 中 。 
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在 一 全 主机 上 会 运行 着 奋 干 基于 网 络 协议 的 软件 。 通 过 这 些 软件 可 以 发 送 和 接收 数据 
Wi, A ARP 之 类 的 协议 解析 主机 地 址 ， 利 用 IP PR ROR A 瑟 数 据 包 。 更 重要 的 是 ， 传 
输 层 协议 (EP TCP 和 UDP) 不 是 运行 在 用 于 构建 网 络 的 交换 机 或 路 由 器 上 ， 而 是 运行 在 本 
地 主机 上 。 事 实 上 , 一 台 下 路 由 上 秦 不 必 考 虑 和 理解 使 用 的 传输 层 协 议 就 可 以 直接 转发 IP 数 
据 包 。 

当然 也 有 例外 的 情况 。 一 些 路 由 吴 会 同时 作为 服务 器 来 使 用 (比如 ,一 台 路 由 费 可 能 会 作 
为 一 台 DHCP 服务 侨 )。 除 此 之 外 ， 一 些 中 间 系 统 会 解析 和 修改 传输 头 部 ， 例 如 NAT 设备 。 但 
是 在 大 多 数 情况 下 ， 网 络 智能 化 原则 是 适用 的 。 

如 果 让 终端 系统 加 和 网 络 ， 那 么 就 意味 着 网 络 管理 应 该 包括 这 些 系统 。 因 此 ， 网 络 管理 员 可 
能 需要 检查 系统 与 主机 的 连接 情况 ， 配 置 主 机 上 的 服务 器 并 进行 监控 ， 以 及 确保 运行 在 主机 上 
的 应 用 程序 和 协议 软件 不 会 出 现任 何 问题 。 总 而 言 之 : 


因为 用 户 终端 系 统 是 网 络 协议 重要 的 组 成 部 分 ， 所 以 必须 对 这 些 系统 进行 高 效 的 网 络 





管理 。 








令 人 失望 的 是 ， 即 使 在 不 考虑 网 络 的 情况 下 ， 管 理 电 脑 系 统 也 并 非 易 事 。 虽然 已 经 进行 了 多 
年 的 研究 ， 但 是 怎样 对 电脑 系统 进行 高 效 管理 仍 未 得 到 解决 。 


3.4 多 样 性 和 多 供应 商 环境 


正如 第 2 章 所 说 的 ， 网 络 管理 包含 了 许多 硬件 和 服务 的 知识 。 网 络 元 素 和 和 网络 服务 又 包含 了 
大 量 的 可 配置 参数 ， 这 些 可 配置 参数 涉及 网 络 协议 栈 的 很 多 层 。 网 络 的 范围 巨大 ， 种 类 繁多 ， 给 
网 络 管理 带 来 了 不 小 的 难度 。 一 方面 ， 任 何 一 个 网 络 都 是 为 了 满足 某 一 组 织 的 商业 需求 而 设计 
的 ， 它 们 都 是 人 硬件 与 软件 相 结 合 的 产物 。 更 重要 的 是 ， 因 为 业界 对 一 些 类 型 的 网 络 还 没有 达成 一 
致 ， 所 以 一 个 网 络 管理 系统 必须 处 理 任 意 一 种 硬件 和 服务 的 结合 方式 。 男 一 方面 ， 设 计 一 个 网 络 
可 以 有 多 种 选择 ， 包 括 选 择 不 同 的 供应 商 ， 因 此 会 造成 同一 个 网 络 由 出 自 不 同 供应 商 的 元 素 组 
成 的 情况 。 举 个 例子 ， 考 虑 包含 多 种 网 络 元 素 和 应 用 服务 的 网 络 。 通 常情 况 下 ， 应 用 服务 是 运行 
在 传统 的 电脑 系统 上 的 ， 网 络 设备 供应 商 不 会 销售 电脑 ， 电 脑 供应 商 也 不 会 贩卖 网 络 设 备 〈 比 
如 路 由 器 、 交 换 机 ) 。 

如 果 某 一 组 织 要 创建 一 个 网 络 ， 那 么 它 需 要 在 如 下 几 个 方面 做 出 决策 : 

。 基本 技术 集合 。 

© 每 一 台 硬 件 设备 供应 商 。 

© 提供 的 服务 集合 。 

© 每 一 项 服务 的 便 件 平台 。 

© 网 络 的 逻辑 拓扑 结构 和 物理 拓扑 结构 。 

KREET: 








每 个 网 络 都 是 根据 某 一 组 织 的 需求 进行 设计 的 ; 每 一 个 组 织 在 设计 网 络 的 过 程 中 有 多 | 
种 选择 ， 一 个 管理 系统 必须 包含 大 量 的 硬件 和 服务 。 











O ERREP, PRAS IP 转发 表 是 同 义 的 。 


[26 | 
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3.5 元 素 与 网 络 管理 系统 


大 多 数 设备 供应 商 提 供 的 网 络 管理 系统 一 次 只 能 管理 一 个 网 络 元 素 。 也 就 是 说 ， 每 家 
供应 商都 独立 地 生产 网 络 元 素 ， 为 该 元 素 提供 一 个 被 管理 界面 ， 允 许 用 户 同时 协调 多 个 元 
素 。 为 了 更 准确 地 描述 这 些 系 统 ， 我 们 将 使 用 网 络 元 素 管理 系统 (Element Management Sys- 
tem, EMS) 这 个 名 称 ， 同 时 也 保留 通常 所 说 的 网 络 管 理 系 统 (Network Management Sys- 
tem, NMS) 这 个 名 称 ， 以 便 描 述 那 些 能 够 管理 和 协调 多 个 网 络 元 素 完成 统一 工作 的 系统 。 

为 什么 供应 商都 会 致力 于 网 络 元 素 管理 系统 的 开发 呢 ? 主要 有 以 下 三 点 原因 。 首 先 ， 
正如 我 们 所 看 到 的 ， 设 计 一 个 网 络 管理 系统 是 一 项 巨大 的 智力 挑战 ; 供应 商会 竭尽 全 力 地 
设计 这 些 系统 ， 但 是 没有 人 能 够 获得 完全 成 功 。 其 次 ， 将 目光 聚焦 在 一 个 网 络 元 素 上 ， 可 
以 帮助 供应 商 忽略 网 络 的 复杂 性 ， 集 中 力量 完成 某 一 项 任务 〈 比 如 监控 ) 。 最 后 ， 因 为 网 
络 通常 是 由 多 个 供应 商 制 造 的 元 素 组 成 的 ， 所 以 网 络 管理 系统 必须 适应 其 他 供应 商 的 产品 。 
因为 任何 供应 商都 不 会 建造 一 个 能 轻易 使 用 竞争 对 手 产品 的 系统 。 

这 种 情况 可 以 概括 如 下 : 


网 络 设备 供应 商 提供 网 络 元 素 管理 系统 而 不 是 通用 的 网 络 管理 系统 ， 因 为 每 个 网 络 元 


素 管 理 系统 只 集中 管理 一 个 网 络 元 素 。 





有 意思 的 是 ， 对 网 络 元 素 的 重视 产生 了 一 条 业界 的 潜 规 则 : 当 销 售 一 个 网 络 元 素 的 时 候 ， 供 
应 商会 宣传 和 比较 该 元 素 的 性 能 与 特点 ， 而 不 去 宣传 该 元 素 怎样 与 其 他 网 络 元 素 共 同 构成 一 个 
可 用 的 网 络 系统 。 事 实 上 ， 许 多 网 络 元 素 是 在 以 自我 为 中 心 的 原则 设计 的 ， 而 不 是 作为 网 络 系统 
的 一 个 组 件 而 设计 的 。 


3.6 规模 与 复杂 度 


除了 面 对 大 量 的 设备 和 服务 ， 网 络 管理 系统 还 必须 处 理 因 巨大 的 规模 而 造成 的 复杂 
度 。 当 然 ， 并 不 是 所 有 的 网 络 都 具有 相同 的 规模 。 供 应 商 能 够 识别 规模 上 的 差异 ， 并 且 
根据 网 络 的 不 同 规模 来 设计 网 络 元 素 。 例 如 ， 一 台 最 小 的 以 太 集线器 只 能 够 容纳 四 条 连 
接 ， 而 且 所 有 的 端口 都 使 用 同一 速度 。 一 台 最 大 的 以 大 网 交换 机 不 但 能 够 容纳 数 百 条 连 
E, 而且 允许 每 一 个 端口 协商 设 定 一 个 速率 。 除 此 之 外 ， 这 种 交换 机 还 可 以 同时 连接 多 
个 单元 。 

最 小 的 网 络 符合 家 庭 与 小 规模 的 商业 活动 使 用 。 它 通常 由 一 个 主要 的 网 络 元 素 、 少 量 硬 件 
设备 和 若干 线 缆 构 成 。 例 如 ， 工 程 师 会 使 用 SOHO (Small Office, Home Office) 这 一 名 称 来 表 
征 那些 为 少量 计算 机 组 成 的 网 络 而 设计 的 网 络 元 素 。 因 此 在 这 样 的 环境 中 ， 一 个 正路 由 器 会 被 
设计 为 SOHO i HH 4 

中 等 规模 的 网 络 可 以 应 用 在 公司 、 大 学 以 及 政府 机 关 这 些 办 公 地 点 相对 集中 的 场所 。 例 如 ， 
在 一 所 拥有 36000 名 本 科 生 的 大 学 里 ，IT 部 门 需 要 管理 包括 教室 、 行 政 部 门 、 院 系 办 公 室 以 及 
学 生 宿舍 在 内 的 网 络 。 图 3-1 统计 了 一 所 大 学 的 网 络 规模 信息 。 


”典型 的 供应 商 网 络 规模 较 大 ， 但 是 会 有 相对 统一 的 拓扑 结构 和 网 络 设备 ; 企业 网 络 的 规模 较 小 ， 但 是 包含 多 种 
设备 和 服务 。 
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60 0000 注册 IP 地 址 
350 IP = 


100 IP Se HH at 
1300 第 二 层 区 摘 机 (多 为 以 太 网 ) 
TARA 





图 3-1 表 中 统计 的 校园 网 的 项 目 是 由 该 大 学 的 IT 机 构 管理 的 。 除 此 之 外 ， 
一 些 设 备 是 由 专门 部 门 〈 比 如 计算 机 科学 技术 系 ) 单独 管理 的 


虽然 存在 例外 的 情况 ,但 是 拥有 一 个 站 点 的 组 织 通 常会 有 如 下 规模 的 网 络 : 


500 IP 子 网 

200 IP 路 由 器 
1200 第 二 层 交 换 机 
3000 无 线 接 入 点 


具有 多 个 站 点 的 公司 往往 比 只 有 一 个 站 点 的 公司 的 网 络 规模 更 大 。 例 如 ， 一 个 路 国 公司 的 


网 络 包括 : 29 | 
8000 IP 子 网 
1200 IP 路 由 器 
1700 | 第 二 层 交 换 机 
4000 无 线 接 人 点 


有 意思 的 是 ，ISP 的 网 络 并 没有 包含 各 式 各 样 的 网 络 设备 。 例 如 ， 一 个 中 等 规模 的 ISP 的 网 
络 (通常 称 作 二 级 主干 网 ISP) 包括 : 


2000 IP 子 网 
400 IP 路 由 器 
4000 第 二 层 交 换 机 


相 比 之 下 ， 一 个 小 规模 的 ISP 的 网 络 (有 时 称 为 小 零售 店 或 者 三 级 主干 网 ISP) 包括 : 


IP FR 

IP 路 由 器 

第 二 层 交 换 机 

数字 用 户 线 路 接 人 复 用 兹 


= b N ON 


巨大 的 规模 增加 了 网 络 管理 的 难度 。 首 先 ， 大 规模 的 网 络 包 含 多 种 设备 和 服务 。 其 次 ， 大 规 
模 的 网 络 会 部 署 在 多 个 物理 站 点 上 ， 对 其 管理 需要 多 方 进行 合作 。 最 后 ， 大 规模 网 络 各 部 分 间 的 
复杂 关系 意味 着 在 进行 性 能 评 佑 和 故障 诊断 的 时 候 需 要 考虑 更 多 的 数据 。 


[30] 





| 除了 其 他 原因 之 外 ， 巨 大 的 规模 使 网 络 更 难 管理 。 


31 | 
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3.7 网 络 的 类 型 


为 了 对 管理 工作 进行 深入 的 讨论 ， 我们 通常 根据 网 络 的 主要 用 途 对 其 进行 分 类 。 下 面 列 出 
常见 的 四 类 网 络 : 

‘2a hws 

e 服务 提供 商 网 络 

e 企业 网 络 

e 居民 /用 户 网 络 

运营 商 网 络 : 运营 商 (carrier) 是 一 个 远 只 离 的 电话 公司 。 它 经 营 着 一 个 高 容量 的 网 络 并 为 
ISP 提供 Internet 传输 服务 。 大 型 的 服务 提供 商 网 络 连 接着 运营 商 网 络 ; 运营 商 网 络 之 间 在 Inter- 
net 对 等 节点 上 互相 连接 。 运 营 商 网 络 使 用 高 吞吐 量 的 数据 连接 ， 同 时 要 求 设备 在 每 秒 内 交换 更 
多 的 数据 包 。 

服务 提供 商 网 络 : ISP 网 络 提供 个 人 用 户 网 络 与 Internet 间 的 传输 服务 。 小 规模 的 ISP 网 络 连 
接 到 大 规模 的 ISP 网 络 ， 大 规模 的 ISP 网 络 连 接 运 营 商 网 络 。 服 务 提供 商 网 络 的 作用 在 于 汇聚 
(aggregation) 一 一 来 自 多 个 用 户 的 数据 复 用 于 同一 高 性 能 的 链 路 上 ， 然 后 通 向 Internet 的 中 心 。 

企业 网 络 : 企业 网 络 用 于 连接 一 个 组 织 的 内 部 用 户 ， 同 时 为 他 们 提供 访问 Internet 的 服务 。 
与 服务 供应 商 网 络 不 同 ， 企 业 网 络 的 大 部 分 流量 源 自 组 织 内 的 一 台 主 机 (比如 办 公 室 的 一 台球 
面 电脑 )， 到 达 组 织 内 的 另 一 台 主 机 (比如 数据 中 心 的 一 台 服 务 器 )。 因 此 ,企业 网 络 的 作用 不 
在 于 汇聚 ， 而 是 保证 网 络 内 部 的 多 个 会 话 能 够 同时 进行 

居民 /用 户 网 络 : 一 个 居民 网 络 residential network) 通常 由 家 庭 中 的 一 台 或 两 台 计算 机 组 
成 ， 这 些 计算 机 通过 一 合 路 由 器 与 ISP 连接 。 它 通常 会 采用 DSL 和 线 费 调制 解 调 技术 。 


3.8 设备 的 分 类 


除了 使 用 土 面 的 术语 来 描述 网 络 以 外 ， 管 理 员 有 时 会 将 网 络 元 素 和 相关 的 硬件 设备 划分 为 
以 下 三 个 基本 类 别 : 

o 核心 

es UK 

es A 

虽然 这 些 术语 能 够 应 用 于 任何 硬件 设备 ， 但 是 它们 通常 应 用 于 了 琴 路 由 器 。 

核心 路 由 器 (core router) 位 于 Internet 的 中 心 。 它 通常 用 于 运营 商 网 络 或 者 大 型 的 ISP 网 
络 。 为 了 能 够 处 理 高 负载 的 数据 流 ， 一 台 核 心 设备 必须 以 高 速 运 行 ， 同 时 采用 最 优 的 方式 尽快 地 
转发 数据 流 。 为 了 达到 最 高 速 的 目的 ,一 台 核 心 设备 不 需要 检查 数据 包 的 内 容 ， 不 需要 认证 权 
限 ， 更 不 需要 报告 关于 流量 的 详细 统计 数据 。 因 此 ， 我 们 必须 设计 一 个 网 络 ， 在 到 达 核 心 设备 之 
前 对 数据 包 进 行 检查 。 

边缘 路 由 器 (edge router) 位 于 Internet 的 边缘 ， 远 离 核心 地 市 。 管 理 员 通 常 将 企业 网 络 和 
居民 网 络 视 为 边缘 网 络 。 企 业 网 络 在 其 数据 中 心 应 用 一 台 边缘 路 由 器 ， 然 后 连接 多 个 子 网 ; 或 者 
利用 一 台 边 缘 路 由 屁 连 接 多 个 部 门 或 一 栋 大 楼 的 各 层 。 边 缘 路 由 器 通常 会 提供 更 多 的 功能 ,但 
是 它 的 速度 比 核心 路 由 器 慢 。 例 如 ， 某 种 边缘 路 由 器 含有 一 个 底板 ， 它 能 够 为 虚拟 专 网 的 连接 提 
供 加 密 和 解密 的 功能 。 

接 入 路 由 器 (access router) 提供 从 边缘 网 络 到 核心 网 络 的 连接 。 接 人 路 由 器 通常 在 ISP 的 
网 络 中 使 用 ， 它 用 于 连接 ISP 网 络 的 用 户 和 Internet。 接 人 路 由 器 通常 完成 认证 、 和 人 侵 检 测 以 及 
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RIELE. AIEA h ARA E E OAH a, (Ze, ISP 可 以 通过 多 个 接 入 路 由 能 与 
用 户 相 连 ， 然 后 汇聚 来 自 接 人 路 由 器 的 流量 并 送 往 一 套 核 心路 由 器 的 集合 《可 能 只 有 一 台 路 由 
AF) o 


3.9 FCAPS: 工业 标准 定义 


网 络 管理 的 供应 商 在 探讨 网 络 管理 问题 时 经 常 使 用 缩写 FCAPS。 这 一 缩写 来 源 于 国际 电信 
HEHH (International Telecommunication Union, ITU) ° RY M. 3400 标准 。 现 在 它 已 经 被 扩展 成 为 一 
个 包含 网 络 管理 各 方面 的 列表 (如 图 3-2 所 示 )。 











故障 检测 与 恢复 
配置 与 操作 
统计 与 计 费 
性 能 评 信 与 优化 
安全 保障 与 预防 


nm TT > 0 





图 3-2 FCAPS 网 络 管理 模型 项 目 及 含义 列表 
本 书后 续 的 章节 将 会 对 FCAPS 模型 的 每 一 个 项 目 进行 扩展 并 加 以 解释 。 


3.10 自动 控制 的 动机 


上 面 的 讨论 告诉 我 们 网 络 管理 是 一 个 涉及 面 其 三 的 主题 ， 它 包含 了 方方面面 和 许 许多 多 细 
节 。 但 是 我 们 期 竺 有 一 天 网 络 管理 的 大 量 工作 都 能够 日 动 完 成 ， 不 需要 人 类 的 手工 干预 。 的 确 ， 
网 络 管理 在 实现 自动 化 方面 有 着 先天 的 优势 。 因 为 底层 的 网 络 元 素 是 数字 设备 ， 它 们 本 里 就 具 
有 计算 和 通信 的 能 力 。 除 此 之 外 ， 建 造 网 络 元 素 的 工程 师 对 日 动 控 制 系统 非常 熟悉 。 他 们 已 经 在 
产品 中 加 入 了 控制 机 制 。 因 此 ， 在 自动 化 网 络 管理 中 加 和 人 这 些 设备 是 一 件 容 易 的 事 。 

除了 在 自动 网 络 管理 中 可 以 加 入 现成 设备 这 一 显而易见 的 原因 外 ， 还 存在 着 为 一 个 重要 的 
经 济 动因 。 从 一 个 网 络 经 营 者 的 角度 来 说 ， 当 前 的 网 络 管理 是 一 项 劳动 密集 型 的 工作 。 它 需要 内 
部 人 员 的 专业 技术 支持 。 由 于 需要 人 的 参与 ， 网 络 管理 工作 也 变 得 易于 出 错 而 且 效 率 低 下 。 随 着 
网 络 管理 任务 的 复杂 性 日 益 增 长 ， 人 类 在 其 中 的 作用 也 变 得 越 来 越 重要 。 例 如 ， 一 个 防火 墙 的 配 
置 就 包含 着 数 百 条 单独 的 规则 。 除 了 在 配置 时 发 生 的 拼写 错误 以 外 ， 还 会 出 现 很 多 其 他 错误 ， 因 
为 一 个 人 很 难 记 住 规模 如 此 巨大 的 规则 集合 ， 更 谈 不 上 理解 了 。 人 类 还 经 常 犯 一 致 性 的 错 
误 一 一 当 一 整套 设备 手工 配置 完毕 后 ， 我 们 会 经 常 对 配置 进行 修改 ， 从 而 造成 不 一 致 性 。 更 令 人 
遗憾 的 是 ， 不 一 致 性 常常 不 为 人 所 知 ， 当 出 现 问题 时 也 很 难 查 找 它们 。 网 络 的 中 断 往往 会 带 来 巨 
大 的 经 济 损失 ， 因 此 由 于 人 类 的 错误 而 引发 的 问题 更 加 受到 关注 。 

除了 消除 不 一 致 性 外 ， 自 动 化 能 够 减少 因为 更 新 和 改造 等 原因 而 带 来 的 网 络 中 断 ， 从 
而 减少 经 济 上 的 损失 。 在 某 些 情况 下 ， 目 动 系统 能 够 实时 地 进行 变更 。 例 如 ， 一 个 人 侵 检 
测 系统 能 够 自动 地 修改 防火 墙 的 配置 以 阻止 一 个 正在 进行 的 攻击 。 最 后 ， 从 网 络 供应 商 的 
角度 来 说 ， 一 个 自动 化 的 网 络 管理 系统 会 增加 销售 量 。 因 为 自动 化 支持 客户 创建 更 大 、 更 
复杂 的 网 络 。 


O ITU 是 由 许多 电信 公司 组 成 的 一 个 联盟 。 它 在 电信 管理 网 络 的 运营 方面 制订 了 一 整套 标准 。 


32 | 
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3. 11 为 什么 自动 化 迄今 没有 实现 


假设 有 充足 的 经 济 动因 和 必要 的 机 制 来 保障 实施 ,为 什么 我 们 到 现在 还 没有 创造 出 自动 网 
络 管理 系统 呢 ?” 正 如 我 们 在 本 书 的 第 二 部 分 将 要 介绍 的 ， 无论 是 网 络 工业 界 还 是 开源 的 项 目 团 
体 都 已 经 开发 出 一 些 工具 。 这 些 工具 能 够 实现 网 络 管理 某 些 方面 的 目 动 化 。 但 是 全 面 的 目 动 化 
系统 仍然 令 人 难以 琢磨 。 这 一 现象 的 基本 原因 在 于 缺乏 模型 的 抽象 与 原则 的 设 定 。 

抽象 是 必要 的 ， 它 使 我 们 不 必 花 费 过 多 的 精力 用 于 理解 就 能 掌握 网 络 的 复杂 性 。 因 此 ， 我 们 
不 仅 要 将 处 理 当 前 网 络 元 素 的 方法 自动 化 ， 而 且 还 需要 新 的 范 型 来 使 管理 员 制 定 策略 并 使 用 一 
A A IAG FR SER SE IK E R E 

为 什么 需要 新 的 范 型 ? 我 们 将 配置 一 个 具有 多 个 Intemet 连接 的 站 点 的 防火 墙 作为 例子 。 现 
在 ， 管 理 员 必须 为 一 条 Internet 连接 的 每 一 个 路 由 器 手动 配置 防火 墙 规则 。 我 们 似乎 可 以 让 这 一 
任务 目 动 化 。 管 理 员 可 以 指定 一 些 规 则 并 给 出 一 个 路 由 器 列表 ， 然 后 让 网 络 管理 系统 为 列表 中 
的 每 一 个 路 由 器 安 滨 这 些 规则 。 虽 然 这 一 做 法 能 够 减少 一 些 手 工 操 作 并 且 比 人 工 多 次 输入 命令 
的 差错 率 低 ， 但 是 通过 管理 员 指 定 规则 和 相关 路 由 硕 则 被 视 为 一 种 低级 的 接口 。 一 种 更 加 有 效 
的 办 法 是 让 网 络 管理 系统 分 析出 哪里 出 现 了 外 部 连接 ， 然 后 由 管理 员 为 这 些 外 部 通信 设置 策略 ， 
最 后 让 网 络 管理 系统 将 这 些 策略 转换 为 规则 并 自动 安装 到 相关 设备 上 。 

总 而 言 之 : 


人 们 虽然 已 经 开发 出 了 一 些 能 够 自动 完成 部 分 网 络 管理 工作 的 工具 ,但 是 在 我 们 研究 


出 一 种 更 新 更 好 的 网 络 管理 抽象 模型 之 前 ， 一 个 全 面 的 、 自 动 化 的 网 络 管理 系统 是 不 
可 能 实现 的 。 





3. 12 管理 软件 的 组 织 


将 来 我 们 能 创造 出 这 样 一 个 网 络 管理 系统 吗 ? 它 婚 独一无二 ， 叉 十 分 固定 ; 它 不 仅 能 够 理解 
局 级 的 策略 ， 而 且 还 能 够 处 理 实 现任 意 一 种 策略 的 所 有 任务 。 许 多 管理 员 认 为 这 样 一 个 系统 是 
不 可 能 实现 的 ， 因 为 网 络 是 不 新 进化 的 ， 网 络 需 求 是 不 断 变化 的 。 我 们 在 实践 中 会 提出 一 些 新 的 
策略 ， 因 此 一 个 固定 的 系统 不 会 永远 包 打 天 下 。 例 如 ， 一 个 20 世纪 80 年 代 的 网 络 管理 系统 可 能 
会 包含 一 些 安全 的 内 容 ， 但 是 在 之 后 的 几 十 年 中 网 络 安全 领域 已 经 发 生 了 翻天 覆 地 的 变化 。 因 
此 ,一 个 自动 化 的 网 络 管理 系统 必须 能 够 适应 新 的 策略 类 型 和 新 的 策略 。 

为 了 保证 一 个 目 动 化 系统 共有 灵活 性 ， 人 们 已 经 提出 了 一 个 两 层 的 方案 : 底层 平台 提 
供 可 编程 接口 ; 上 层 为 软件 层 ， 它 可 以 调用 底层 平台 将 策略 转换 为 动作 。 图 3-3 说 明了 这 
一 概念 : 


用 户 


可 变更 策略 的 软件 
固定 的 网 络 管理 平台 


网 络 元 素 硬件 
图 3-3 两 层 日 动 网 络 管理 系统 的 逻辑 组 织 结构 : 底层 的 平台 提供 可 编程 接口 ， 上 层 软件 执行 策略 


< 一 一 用 户 指定 策略 


策略 软件 
调用 任务 










网 络 管理 系统 
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正如 上 面 的 图 所 指出 的 ， 只 有 最 底层 的 自动 化 系统 是 固定 的 。 用 于 执行 策略 的 第 二 层 能 够 
采用 新 类 型 的 策略 。 
为 了 使 这 一 方案 更 加 灵活 ， 第 二 层 可 以 由 一 系列 模块 组 成 ， 每 一 个 模块 负责 管理 一 类 策略 。 
当 管 理 员 提出 请 求 时 ， 用 户 界 面 就 会 为 该 请 求 指定 合适 的 策略 模块 。 因 为 在 执行 新 类 型 的 策略 
时 ， 我 们 可 以 方便 地 加 入 新 的 策略 模块 并 对 现 有 策略 模块 进行 更 新 ， 所 以 不 必 更 新 底层 系统 ， 从 
而 大 大 提高 了 系统 的 灵活 性 。 图 3-4 说 明了 这 一 结构 。 
用 户 


策略 接口 


ne 


底层 管理 平台 


图 3-4 ”两 层 自动 网 络 管理 系统 的 详细 结构 图 。 
用 户 可 以 在 任何 时 候 加 入 新 的 策略 模块 并 更 新 现 有 策略 模块 35 | 


有 人 指出 ， 两 层 方 案 的 概念 (参见 图 3-4) 类 似 于 设计 一 个 操作 系统 。 操 作 系统 拥有 固定 的 
内 核 。 内 核能 提供 基本 的 功能 。 上 层 应 用 软件 调用 操作 系统 的 接口 去 完成 更 复 淋 的 功能 。 进 一 步 
分 析 ， 我 们 发 现 网 络 管理 系统 当前 的 情况 与 20 世纪 60 年 代 操作 系统 的 发 展 情况 十 分 类 似 。 十 分 
一 致 的 是 ， 只 有 当 计 算 机 科学 家 们 研究 出 一 套 新 的 抽象 概念 时 〈 上 比如， 线程、 文件、 目录) ， 操 
作 系 统 才 得 以 实现 。 在 后 面 的 章节 我 们 会 了 解 到 ， 虽 然 上 面 描述 的 方案 为 我 们 提供 了 一 个 整体 
的 框架 ， 但 是 正如 操作 系统 的 发 展 历程 一 样 ， 在 自动 网 络 管理 系统 付 诺 实践 之 前 ， 我 们 需要 定义 
一 套 类 似 的 抽象 概念 。 


3.13 总结 


由 于 种 种 原因 ， 网 络 管理 问题 十 分 复杂 。 除 了 网 络 元 素 和 网 络 设备 的 种 类 多 、 参 数 复杂 之 

外 ， 每 一 个 网 络 都 是 独一无二 的 ， 所 以 通用 的 模式 很 少 。 许 多 网 络 规模 巨大 ， 运 营 商 网 络 、 服 务 

提供 商 网 络 以 及 企业 网 络 在 功能 和 目的 上 各 不 相同 。 与 此 同时 ， 一 些 供应 商 已 经 将 精力 投入 到 

网 络 元 素 管 理 系统 的 开发 上 。 | | 
自动 网 络 管理 是 必要 的 。 目 前 ， 人 们 已 经 掌握 了 自动 化 系统 的 一 些 特 性 。 尤 其 是 前 面 提 到 的 

两 层 结 构 ， 一 方面 它 拥 有 固定 的 底层 系统 ， 可 以 提供 可 编程 的 接口 ; 另 一 方面 ， 第 二 层 软件 可 以 

执行 各 种 策略 。 因 此 它 保持 了 自动 化 系统 的 灵活 性 ， 适 应 了 未 来 发 展 的 需要 。 但 是 ， 在 建造 一 个 

高 效 、 实 用 的 自动 网 络 管理 系统 之 前 ， 我 们 需要 提出 新 的 原则 和 抽象 概念 。 36 | 
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第 4 章 ”配置 与 操作 


4.1 简介 


前 面 几 童 介绍 了 网 络 管理 系统 的 术语 和 概念 ， 并 且 举 例 说 明了 网 络 的 规模 。 第 2 草 给 出 了 网 
络 元 素 及 其 配置 参数 的 实例 。 第 3 章 指 出 种 类 繁多 的 网 络 元 素 与 服务 使 网 络 管理 更 加 复杂 。 第 3 
章 还 介绍 了 FCAPS 模型 的 概念 。 这 一 模型 将 网 络 管理 任务 划分 为 五 个 主要 区 域 。 

本 章 继续 讨论 FCAPS 模型 。 我 们 将 详细 的 研究 该 模型 的 一 个 最 重要 部 分 一 一 配置 。 我 们 会 
告诉 读者 为 什么 像 配 置 这 样 看 似 简单 的 任务 会 如 此 复杂 ， 并 分 析 网 络 管理 系统 的 一 些 结论 。 后 
面 的 章节 将 会 讨论 FCAPS 模型 的 各 个 方面 。 | 


4.2 对 于 配置 的 直观 认识 


因为 个 人 电脑 上 运行 着 系统 和 许多 应 用 软件 ， 用 户 可 以 对 操作 进行 配置 ， 所 以 电脑 用 户 对 
配置 这 一 概念 已 经 有 了 直观 的 认识 。 例 如 ， 一 个 典型 膝 上 电脑 的 操作 系统 允许 用 户 设置 一 个 超 
时 时 间 ， 一 旦 电脑 在 这 段 时 间 内 没有 被 使 用 就 会 自动 休 虐 以 节约 电源 〈 比 如 关闭 显示 器 等 ) — 
般 的 浏览 器 允许 用 户 配 置 网 页 的 地 址 ， 只 要 点 击 了 “主页 ”按钮 就 可 以 显示 该 网 员 。 计算 机 网 
络 中 设备 和 服务 的 配置 也 与 上 面 介绍 的 情形 类 似 。 

图 4-1 对 配置 的 主要 特点 进行 了 概括 。 














1) 配置 是 使 用 电脑 系统 和 应 用 程序 之 前 必 经 的 一 步 。 

2) 配置 需要 用 户 (比如 管理 员 ) 进行 一 系列 的 选择 来 控制 电脑 系统 的 运行 和 软件 的 执行 。 
3) 虽然 可 以 更 改 配置 ， 但 是 每 一 次 修改 都 会 使 底层 系统 暂停 、 关 机 或 者 重启 。 

| 4) 配置 使 用 的 界面 往往 与 系统 的 运行 界面 截然 不 同 。 在 网 络 中 ， 一 个 处 理 效 据 包 的 系统 不 需要 任何 用 户 界面 。 











图 4-1 与 配置 有 关 的 一 般 性 质 


4.3 配置 与 协议 层 的 关系 


第 2 章 既 包含 了 网 络 元 素 与 网 络 服务 的 例子 ， 又 给 出 了 特定 配置 参数 的 实例 。 虽 然 例 子 中 的 
参数 说 明了 被 配置 对 象 的 复杂 类 别 ， 但 是 并 没有 指出 配置 之 下 的 重要 的 概念 抽象 。 这 是 因为 配 
置 参数 仅仅 是 用 于 达到 目标 的 机 制 ， 对 配置 的 理解 依赖 于 对 最 终 目 标的 理解 。 下 面 的 部 分 将 介 
绍 网 络 元 素 的 可 配置 项 目 、 协 议 栈 的 层 、 配 置 参数 的 预期 结果 三 者 之 间 的 关系 。 


4.3.1 拓扑 结构 与 第 二 层 的 关系 


我 们 曾 说 过 ， 运 行 在 第 二 层 的 网 络 元 素 的 可 配置 参数 相对 较 少 。 这 是 因为 大 部 分 第 二 层 的 
元 素 都 可 以 自动 地 进行 处 理 。 但 是 在 我 们 考虑 虚拟 局 域 网 交换 机 的 配置 时 产生 了 一 个 重要 的 想 
法 : 配置 是 否 能 用 来 创建 一 个 拓扑 结构 呢 ? 

实质 上 ， 虚 拟 局 域 网 的 配置 是 对 第 一 层 配 线 进行 逻辑 替换 一 一 不 再 根据 一 些 基本 交换 机 和 
它们 与 计算 机 之 间 的 连 线 来 创建 拓扑 结构 。 管 理 员 可 以 将 所 有 的 计算 机 都 连接 到 一 个 大 型 的 虚 
拟 局 域 网 交换 机 上， 然后 对 这 台 交 换 机 进行 配置 ， 让 它 像 一 套 独立 的 交换 机 一 样 工 作 。 使 用 配置 
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的 最 大 优点 是 易于 改变 : BLA re cde JL Pe a EE — GLA 7 ie 0d J Sak 9 28 7 — 
个 网 络 。 稍 后 我 们 将 会 理解 配置 拓扑 的 概念 是 如 此 重要 。 本 节 可 总 结 如 下 : 


创建 一 套 虚拟 局 域 网 并 配置 一 台 交 换 机 连接 指定 虚拟 局 域 网 的 每 一 个 端口 等 同 于 创建 


4.3.2 逻辑 子 网 与 第 三 层 的 关系 


在 第 三 层 对 IP 地 址 以 及 子 网 掩 码 的 配置 仅仅 是 一 个 实现 细节 一 一 最 终 的 目标 是 建立 一 个 * 
子 网 的 寻 址 方案 保证 数据 包 转 发 正确 高 效 地 进行 。 尤 其 是 为 路 由 器 配置 P 地 址 和 子 网 掩 码 的 时 
候 ， 管理 员 必 须 保证 每 一 个 子 网 都 拥有 一 -个 唯一 的 地 址 前 级 (给 子 网 内 的 每 一 台 主 机 都 分 配 一 
个 唯一 的 后 缀 ) 。 这 -一 重要 观点 可 总 结 为 : 




















的 前 缓 。 


假设 在 网 络 已 经 定义 的 情况 下 ， 通 过 配置 卫 地 址 ， 我 们 可 以 保证 每 一 个 子 网 都 有 唯一 








稍 后 我 们 会 通过 本 章 的 介绍 理解 该 假设 的 音义。 

昌 然 许多 网 络 是 通过 手动 方式 为 每 一 个 子 网 配置 前 缀 的 ， 但 是 DHCP 协议 软件 能 够 自动 地 
为 每 一 台 主 机 分 配 一 个 地 址 。 除 了 使 用 DACP 之 外 ， 需 要 先 完成 前 缀 的 手动 配置 工作 。 因 为 一 
个 网 络 的 前 缀 会 出 现在 该 网 络 每 一 台 主 机 的 地 址 中 。 一 台 DHCP 服务 器 必须 首先 通过 手动 配置 
获取 自身 的 网 络 前 级 ， 然 后 才能 将 地 址 分 配给 网 络 中 的 主机 。 因 此 ， 我 们 可 以 认为 DHCP 只 是 
自动 地 为 主机 分 配 后 弘 。 因 为 在 分 配给 每 一 台 主 机 的 地 址 中 ， 前 级 就 是 之 前 网 络 所 配置 的 前 级 。 


4.3.3 ”访问 与 第 四 层 的 关系 


许多 与 协议 栈 第 四 层 相 关 的 参数 是 自动 分 配 的 。 例 如 ， 当 一 个 客户 端 (比如 Web 浏览 器 ) 
连接 一 台 服 务 器 的 时 候 ， 运 行 在 客户 端 计 算 机 操作 系统 上 的 TCP 协议 软件 会 自动 地 为 客户 分 配 
TCP 端口 号 。 除 此 之 外 ， 一 些 网 络 元 素 (比如 网 络 地 址 转换 设备 、 负 载 均 衡器 ) 使 用 数据 包 第 
四 层 的 协议 头 的 信息 来 创建 一 个 连接 的 高 速 缓存 。 因 此 ， 一 个 网 络 管理 员 不 需要 经 常 地 配置 
NAT 设备 的 连接 信息 。 

除了 在 转发 路 径 方面 有 一 些 自 动 配 置 的 选项 外 ， 在 网 络 层 中 还 需要 进行 一 些 手动 配置 。 通 
常 ， 手 动 配置 大 都 集中 在 第 四 层 的 控制 连接 上 而 不 是 数据 连接 上 。 也 就 是 说 ， 配 置信 息 指 明 系 统 
允许 做 什么 ， 不 能 做 什么 。 

我 们 将 配置 防火 墙 的 访问 规则 作为 第 四 层 配置 的 例子 。 通 常 ， 防 火 墙 规则 会 指定 一 些 允 许 
的 与 禁止 〈 即 允许 数据 包 通 过 或 将 其 丢弃 ) 的 选项 《比如 下 源 地 址 、 于 目的 地 址 、 传 输 协议 的 
类 型 (如 TCP)、 源 和 目的 地 协议 的 端口 号 )。 类 似 地 ， 一 个 NAT 系统 允许 管理 员 预 先 对 地 址 和 
协议 端口 号 集合 的 映射 关系 进行 配置 。 

这 一 点 可 总 结 为 : 








虽然 服务 器 会 根据 应 用 事先 选 定 第 四 层 协 议 用 于 通信 的 端口 号 ， 并 且 客 户 端 也 会 自动 
分 配 到 端口 号 ， 但 是 一 些 网 络 系统 允许 管理 员 配 置 第 四 层 参 数 的 访问 规则 。 
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4.3.4 应 用 与 第 五 层 (或 者 第 七 层 ) 的 关系 


应 用 程序 在 第 五 层 还 是 第 七 层 操作 取决 于 我 们 用 的 是 描述 TCP/IP 协议 的 五 层 模 型 还 是 并 不 
准确 的 OSI 七 层 模型 。 在 任何 情况 下 ， 我 们 都 可 得 出 结论 : 一 名 管理 员 能 够 对 运行 在 特定 电脑 上 
特定 的 应 用 进行 配置 。 

我 们 以 DNS 提供 的 域名 服务 为 例 。DNS 的 配置 涉及 两 个 方面 

© 对 客户 端 和 服务 句 使 用 DNS 通信 的 软件 进行 配置 。 

e 对 具有 特定 内 容 的 DNS 服务 器 进行 配置 。 

从 第 一 个 方面 来 说 ， 管 理 员 首 先 必须 选择 一 台 计 算 机 作为 DNS 服务 器 ， 然 后 在 计算 机 启动 
的 时 候 配 置 服务 器 软件 并 开始 自动 运行 。 管 理 员 还 需要 配置 每 一 全 服务 苍 ， 让 它们 知道 父 域 和 
子 域 的 地 址 。 除 此 之 外 ， 管 理 员 必须 要 让 网 络 中 的 其 他 计算 机 知道 提供 DNS 服务 的 计算 机 是 哪 
个 (比如 ， 当 需要 域名 解析 时 ， 主 机 该 连接 哪 一 台 计 算 机 )。 在 一 些 情况 下 ， 人 们 会 在 DNS 服 
务 器 开机 的 时 候 ， 采 用 DACP 代替 手工 操作 对 每 一 台 个 人 电脑 进行 地 址 分 配 。 这 样 ， 管 理 员 只 

需要 配置 DHCP 服务 器 即 可 分 配 正确 的 主机 地 址 了 。 

从 第 二 个 方面 来 说 ， 管 理 员 必 须 为 DNS 服务 器 提供 数据 支持 。 尤 其 是 管理 员 必 须 为 每 一 台 
DNS 服务 器 装载 一 套 资源 记录 。 这 些 记录 中 指定 了 域名 的 绑 定 关系 。 在 每 一 个 域名 绑 定 关系 中 
包含 了 一 个 域名 -地址 对 应 关系 。 我 们 可 以 总 结 如 下 : 


除了 配置 DNS 服务 器 与 DNS 客户 端 之 间 的 通信 以 外 ， 管 理 员 必须 配置 一 套 域名 一 地 


址 绑 定 记录 。 





4.4 配置 参数 间 的 依赖 关系 


可 以 看 出 ， 前 一 小 节 中 的 每 个 例子 都 在 协议 栈 中 的 一 层 涉 及 概念 上 相互 独立 的 选项 。 但 是 ， 
选择 这 些 例子 都 是 为 了 说 明 一 个 重要 的 观点 : 














虽然 网 络 元 素 的 管理 接口 允许 管理 员 独 立地 配置 参数 ， 但 是 许多 参数 在 语义 上 是 相 
关 的 。 








这 些 参数 间 的 语义 关系 使 配置 工作 更 加 复杂 。 尤 其 是 一 些 参 数 间 的 依赖 关系 引入 了 一 个 隐 
含 的 选择 顺序 。 

Blin, RIZ BAS A IP 子 网 与 第 二 层 拓扑 结构 之 间 的 关系 。 我 们 之 前 已 经 说 明 管 理 
员 必 须 为 每 个 网 络 分 配 唯 一 的 IP 地址 前 级 。 对 一 个 多 接 入 的 广播 网 络 (比如 以 太 网 ) 来 说 ，In- 
ternet 协议 通过 地 址 解析 协议 (ARP) 来 解决 下 一 跳 步 PP 地 址 与 其 对 应 的 MAC 地 址 之 间 的 关 
系 。 因 为 ARP 协议 使 用 广播 的 方法 ， 准 确 地 说 ， 网 络 所 覆盖 的 区 域 就 是 广播 覆盖 的 区 域 。 我 们 
同时 会 发 现 ， 对 于 使 用 第 二 层 交 换 机 的 网 络 ， 给 定 计算 机 的 广播 域 就 与 它 所 连接 的 虚拟 局 域 网 
内 的 计算 机 相同 。 进 一 步 说 ， 管 理 员 可 以 在 任意 虚拟 局 域 网 上 为 交换 机 配置 任意 一 个 接口 。 因 
此 ,拓扑 结构 的 配置 与 子 网 的 配置 存在 语义 上 的 依赖 关系 : 第 二 层 的 拓扑 结构 的 配置 必须 在 第 
三 层 分 配 完 IP 前 缀 的 情况 下 才能 进行 。 

虽然 网 络 元 素 允 许配 置 参数 以 任何 方式 变更 ， 但 是 依赖 关系 表明 修改 一 个 参数 而 不 改变 其 
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接 另 一 个 虚拟 局 域 网 ， 却 没有 修改 分 配给 计算 机 的 下 地 址 ， 那 么 就 会 引起 IP HR. RY 
地 ， 如 果 管 理 员 重新 配置 了 一 台 计 算 机 的 IP Hd, ARA EK DNS 数据 库 的 相关 条 目 ， 那 么 
DNS 服务 器 观 会 返回 错误 的 映射 。 我 们 可 以 总 结 如 下 : 


虽然 网 络 元 素 允 许 管理 员 任 意 地 更 改 配 置 参数 ， 但 是 参数 间 语 义 上 的 依赖 关系 表明 ， 





只 更 改 一 个 项 而 不 更 改 协 议 栈 其 他 层 的 相关 项 ， 可 能 会 造成 整体 配置 的 错误 。 

















4.5 为 配置 寻找 一 个 更 加 准确 的 定义 


为 配置 寻找 一 个 准确 的 、 数 学 化 的 定义 看 起 来 似乎 很 简单 。 例 如 ， 在 图 4-1 中 的 特征 列表 
中 ,第 二 个 特征 要 求 管 理 员 必 须 能 够 做 一 些 选择 。 用 数学 语言 描述 就 是 ， 管 理 员 必须 能 够 建立 从 
一 个 数值 集合 到 一 个 可 配置 项 集合 的 绑 定 关系 。 更 准确 地 说 ， 我 们 要 求 一 个 网 络 管理 系统 必须 
定义 一 个 有 限 的 《通常 规模 较 小 ) 的 项 集合 ， 同 时 管理 员 必 须 为 其 中 的 每 一 个 项 指定 值 。 为 了 
进一步 人 奶 寻 我 们 关于 配置 的 直观 印 象 ， 我 们 指定 每 一 个 项 可 能 的 值 集合 是 有 限 而 且 很 小 的 。 事 
实 上 ， 对 于 许多 项 而 言 ， 网 络 管理 系统 都 已 经 清楚 地 列 出 了 所 有 可 能 的 数值 供 管理 员 选 择 Bi 
如 ， 当 配置 一 个 网 络 接口 的 状态 时 ， 系 统 允 许 管 理 员 选 择 “ 运 行 ” 和 “停止 ”两 个 状态 ) 。 

可 以 看 出 ， 配 置 代表 着 一 种 直接 的 数学 绑 定 关系 : 

op 

B 是 一 个 元 组 的 项 集合 ,集合 中 的 项 称 作 变 量 (variable), 集合 中 的 每 一 个 项 都 有 一 个 可 
能 的 数值 集合 。 这 个 数值 集合 是 有 限 集 合 ， 范 围 也 很 小 。a 是 一 个 天 元 组 的 数值 集合 ， 这 些 数值 
与 集合 6 中 的 变量 一 一 绑 定 。 进 一 步 来 说 ， 绑 定 关 系 要 求 集 合 a 中 的 数值 w 在 变量 p, 的 数值 范 
围 之 内 。 

正如 我 们 所 看 到 的 ， 配 置 参数 间 语 义 上 的 依赖 性 表明 并 不 是 所 有 数值 组 合 都 可 以 用 于 实践 。 
上 述 正确 性 的 定义 是 脆弱 的 。 我 们 在 下 一 节 将 会 看 到 配置 的 定义 也 知 要 适应 暂时 的 要 求 。 


4.6 配置 与 暂时 的 结果 


如 果 为 参数 绑 定 数值 的 解释 并 不 足以 说 明 网 络 配置 的 概念 ， 那 么 还 有 哨 的 说 法 吗 ? 为 了 理 
解 这 一 问题 ， 我 们 考虑 一 个 网 络 是 怎样 运行 的 。- 一 般 来 说 ， 管 理 员 将 每 一 个 设备 连接 起 来 ， 然 后 
配置 这 些 网 络 元 素 ， 最 后 让 网 络 运行 起 来 。 一 些 配置 参数 仅仅 指定 了 初始 条 件 ， 一 旦 网 络 运行 起 
来 ， 这 些 参数 会 产生 变化 。 一 旦 数据 包 开 始 传输 ， 其 他 一 些 配 置 参 数 就 可 以 控制 网 络 的 运行 。 例 
如 ， 初 始 的 路 由 配置 指出 网 络 开 始 运行 以 后 数据 包 经 过 的 路 径 。 但 是 选择 是 否 配置 一 个 路 由 更 
新 协议 (比如 RIP 或 者 OSPF) 决定 了 一 个 网 络 是 否 能 够 检测 链 路 故障 并 且 绕 开 故障 进行 路 由 。 

因为 这 要 求 网 络 管理 员 想 象 网 络 在 将 来 会 怎样 运行 ， 所 以 随时 间 改 变 的 观念 使 配置 更 加 复 
杂 。 事 实 上 ， 管 理 员 可 能 需要 进行 反 向 思考 ， 先 设想 出 一 个 可 运行 的 系统 ， 然 后 再 设想 如 何 通过 
一 系列 的 步 又 让 网 络 达到 可 运行 的 条 件 。 为 了 设想 出 这 些 步 又 ,管理 员 必须 理解 每 一 个 配置 选 
择 对 网 络 实时 的 影响 。 然 后 ， 管 理 员 必须 选择 合适 的 数值 来 生成 初始 化 条 件 ， 最 终 达 到 需要 的 运 
行 状态 。 也 就 是 说 ， 管 理 员 必 须 考虑 每 一 个 配置 选择 产生 的 暂时 结果 。 


4.7 配置 与 全 局 一 致 性 


除了 考虑 暂时 的 变化 之 外 ， 网 络 管理 员 还 必须 理解 配置 选择 之 间 的 相互 作用 。 也 就 是 说 ， 管 
理 员 必 须 想 象 出 一 个 网 络 的 全 局 状态 ， 而 不 是 单独 地 考虑 每 一 个 配置 参数 。 换 名 话说， 管理 员 必 
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须 理 解 在 每 一 个 网 络 元 素 中 存储 的 数值 是 怎样 保证 网 络 实现 需要 的 功能 的 。 例 如 ， 考 虑 转发 的 
情况 ， 为 了 提供 Internet 到 每 一 台 主 机 的 连接 ， 管 理 员 不 能 单独 考虑 一 台 路 由 器 的 配置 ， 而 是 需 
要 考虑 跨越 整套 路 由 器 的 转发 状态 。 虽 然 管 理 员 是 单独 地 配置 每 一 个 网 络 元 素 的 ， 但 是 所 有 路 
由 都 必须 保持 全 局 一 致 性 以 确保 所 有 的 主机 都 能 够 连接 到 Internet, 





当 一 名 网 络 管理 员 选 择 配置 的 时 候 ， 他 必须 考虑 的 基本 目标 就 是 整个 网 络 的 状态 需 
RK; 配置 仅仅 是 一 种 允许 人 们 设置 初始 状态 细节 并 实时 控制 网 络 状态 变化 的 机 制 。 





一 项 关于 状态 的 重要 观察 结论 表明 ， 多 个 正确 的 状态 可 以 并 存 。 在 上 面 的 例子 中 ， 完 全 可 能 
存在 多 种 路 由 配置 ， 而 且 每 一 种 路 由 配置 都 可 以 保证 所 有 主机 都 连接 到 Intemet。 因 此 ,管理 员 
在 不 知道 整个 网 络 状 态 的 情况 下 不 能 决定 一 个 指定 的 网 络 元 素 是 否 拥有 正确 的 转发 信息 。 


因为 有 许多 种 网 络 状态 都 是 正确 的 ， 所 以 一 个 网 络 元 素 配 置 的 正确 性 只 能 与 其 他 相关 





网 络 元 素 的 配置 放 在 一 起 才能 得 到 全 面 的 评价 。 





4.8 全 局 状态 与 实践 系统 


正如 后 面 将 要 看 到 的 ， 整 个 网 络 的 一 致 性 问题 是 如 此 重要 ， 以 至 于 会 影响 目 动 管理 系统 的 
设计 。 现 在 我 们 必须 明白 关键 的 一 点 : 虽然 全 局 的 状态 是 一 个 基本 概念 ， 但 是 制作 出 能 够 获得 并 
操作 全 局 状态 的 软件 是 不 可 能 的 。 也 就 是 说 ， 除 了 小 规模 的 无 用 网 络 之 外 ， 我 们 不 能 够 期 望 记 录 
一 个 网 络 的 全 部 状态 信息 。 

为 什么 不 能 记录 整个 网 络 的 全 局 状态 呢 ? 主要 有 三 个 原因 。 首 先 ， 网 络 包 含 了 多 个 网 络 元 
素 ， 而 且 每 一 个 网 络 元 素 都 十 分 复杂 ， 我 们 需要 记录 下 大 量 的 数据 才能 表示 出 整个 网 络 的 状态 。 
其 次 ， 网 络 状态 会 随时 间 改 变 ， 获 得 全 局 状态 需要 同时 获得 所 有 网 络 元 素 的 状态 信息 。 最 后 ， 除 
了 相对 静态 的 数值 以 外 ， 全 局 状态 包括 数据 包 队 列 ， 它 会 随时 间 不 断 地 改变 。 

由 于 网 络 的 规模 巨大 ， 我 们 发 现 转发 表 由 大 量 的 状态 信息 组 成 。 但 是 ， 除 了 转发 信息 以 外 ， 
网 络 元 素 还 包含 了 协议 软件 、 操 作 系 统 、 设 备 驱动 、 控 制 与 管理 软件 、 防 火 墙 以 及 内 存 中 的 其 他 
数据 。 因 此 ， 即 使 我 们 忽略 底层 硬件 ， 一 个 独立 的 网 络 元 素 也 包含 了 大 量 的 状态 信息 。 

捕获 实时 状态 信息 是 十 分 必要 的 。 如 果 没 有 暂时 的 快照 ， 状 态 就 会 出 现 不 一 致 的 情况 。 例 
如 ， 我 们 可 以 想象 在 路 由 信息 发 生变 化 的 时 候 获 得 路 由 器 转发 表 的 情况 。 如 有 本 我 们 在 路 由 改变 
之 前 获得 了 一 些 路 由 器 的 转发 表 ， 又 在 路 由 改变 之 后 获得 了 另 一 些 路 由 器 的 转发 表 ， 那 么 所 保 
存 的 数据 并 不 能 代表 网 络 的 正确 全 局 状态 。 

虽然 数据 包 仅仅 代表 了 网 络 状态 的 一 个 方面 ， 但 是 引发 了 被 管理 数据 本 身 的 一 个 重要 问题 : 
我 们 在 下 一 章 将 会 了 解 到 ， 网 络 管理 系统 会 使 用 被 管 网 络 与 各 个 网 络 元 素 进行 通信 。 也 就 是 说 ， 
管理 数据 流 也 会 像 用 户 数据 流 一 样 流 经 相同 的 线路 和 网 络 元 素 。 因 此 ， 记 录 多 个 网 络 元 素 的 状 
态 需 要 传输 数据 包 〈 即 任 何人 都 不 可 以 先 “ 冷 冻 ” 整 个 网 络 ， 然 后 记录 下 它 的 状态 ， 最 后 再 重 
启 网 络 )。 


49 ”配置 与 默认 值 


管理 员 为 一 个 网 络 元 素 指定 的 配置 和 该 元 素 的 初始 状态 之 间 有 怎样 的 关系 呢 ?” 可 以 看 出 ， 
除了 指定 基本 软件 〈( 比如 运行 的 操作 系统 ) 外 ， 管 理 员 必须 为 网 络 元 素 指 定 初 始 状态 。 但 是 在 
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实践 中 ， 只 有 少量 参数 需要 在 网 络 元 素 运 行 之 前 配置 ， 为 网 络 元 素 指 定 初始 状态 时 需要 的 元 素 
就 少 之 又 少 了 。 

配置 参数 的 产生 仅仅 是 因为 网 络 管理 接口 不 断 扩 展 ， 越 来 越 多 的 项 目 需 要 一 个 精简 的 集合 
吗 ? 当然 不 是 。 简 短 源 于 网 络 供应 商 希 望 网 络 配 置 更 加 简单 。 供 应 商 一 直 亲 循 着 使 用 默认 配置 这 
一 原则 : 























一 个 管理 界面 不 会 要 求 管理 员 为 所 有 的 参数 都 指定 数值 ， 而 是 在 起 始 状态 下 使 用 一 套 
默认 的 数值 ， 并 且 允 许 管 理 员 更 改 指定 的 数值 。 








因为 这 样 减少 了 出 错 的 机 会 ， 所 以 使 用 默认 配置 的 界面 对 直接 由 人 工 管理 的 设备 有 很 大 玫 
Whe 但 是 具有 议和 意 于 的 是 ， 菠 六 的 其 兴 配置 也 襄 味 着 管 理 菜 网 络 元 素 的 目 动 软件 必须 清楚 
了 解 该 元 素 的 工作 情况 。 


4.10 ”部 分 状态 、 目 动 更 新 以 及 恢复 


在 前 面 已 经 说 过 ， 虽 然 配 置 指定 了 网 络 元 素 在 初始 状态 的 一 些 项 ， 但 是 元 素 运行 之 后 这 些 
状态 会 发 生 改 变 。 例 如 ，ARP 协议 会 在 高 速 缓存 中 加 和 一些 条 目 ， 路 由 更 新 协议 会 更 改 路 由 信 
息 ， 状 态 防火 墙 会 更 新 过 滤 规 则 。 有 趣 的 是 ， 动 态 状 态 更 新 的 概念 有 一 个 重要 的 含义 : 





因为 网 络 元 素 或 网 络 服务 的 状态 会 随 着 网 络 的 运行 而 动态 更 新 ， 仅 仅 依 靠 配置 信息 不 


能 指定 网 络 状 态 。 

















当 人 们 考虑 故障 恢复 时 ， 网 络 元 素 的 状态 随时 间 改 变 并 且 依 赖 于 网 络 传输 情况 的 思想 显得 
尤为 重要 。 重 新 载 入 一 个 配置 和 重启 一 个 网 络 元 素 只 能 恢复 一 部 分 状态 信息 一 一 在 设备 重新 启 
动 与 发 生 故 障 这 段 时 间 内 所 产生 的 变化 是 不 能 够 恢复 的 。 

使 情况 更 加 复杂 的 是 ,一 些 网 络 元 素 的 硬件 允许 元 素 将 一 些 或 者 全 部 状态 信息 存储 在 非 易 
失 性 的 存储 髓 中 。 举 一 个 小 例子 ,我 们 考虑 一 下 虚拟 局 域 网 交换 机 。 虚 拟 局 域 网 交换 机 将 端口 状 
态 信 息 存储 在 非 易 失 性 的 存储 髓 中 ， 却 将 其 他 的 配置 数据 保存 在 易 失 性 的 存储 器 中 。 也 就 是 说 ， 
当 管 理 员 配 置 一 个 端口 是 禁用 还 是 启用 的 时 候 ， 硬 件 将 会 永久 地 保存 这 一 设置 。 这 样 当 硬件 重 
启 的 时 候 就 可 以 及 时 恢复 。 诸 如 电力 循环 的 设备 会 使 虚拟 局 域 网 分 配 的 端口 无 效 ， 但 是 能 够 恢 
复 每 一 个 端口 的 状态 。 














在 断 电 的 情况 下 ， 网 络 元 素 使 用 非 易 失 性 的 存储 器 能 够 保证 全 部 或 部 分 状态 信息 a 
恢复 。 








4. 11 界面 范式 与 增 量 配置 


使 用 命令 行 界面 的 网 络 元 素 通 常 允 许 管 理 员 输 入 一 系列 配置 命令 ， 这 些 命令 对 网 络 元 素 状 态 做 
出 小 的 改变 "。 也 就 是 说 ， 每 一 条 命令 都 使 网 络 元 素 的 配置 产生 增 量 改变 。 为 了 达到 要 求 的 效果 ， 
使 用 增 量 界面 的 管理 员 需 要 熟悉 多 种 命令 〈 比 如 改变 转发 表 中 的 一 个 值 来 使 用 特定 接口 ， 并 且 


O 一 些 网 络 元 素 使 用 可 变 范 型 。 在 这 些 范 型 中 ， 管 理 员 可 以 更 改 一 一 份 配置 信息 的 拷贝 然后 再 将 整个 拷贝 上 传 到 
网 络 元 素 中 。 


| 46 | 


| 47 | 


— [48 | 
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启用 该 接口 ) 。 在 这 样 的 情况 下 ， 一 个 错误 往往 会 使 得 配置 工作 的 交互 过 程 更 加 复杂 一 一 如 有 果 出 
现 一 个 错误 阻止 了 工作 继续 进行 ， 管 理 员 需 要 撤销 之 前 的 已 经 输入 的 一 系列 命令 。 

为 了 帮助 管理 员 掌 握 复 杂 性 ， 一 些 管理 界面 允许 将 一 系列 命令 视 为 一 个 原子 级 单位 ( atomic 
unit) 。 也 就 是 说 ， 集 合 中 所 有 的 命令 要 么 都 被 应 用 ， 要 么 都 不 被 应 用 。 我 们 使 用 事务 (transac- 
toin) 的 概念 来 描绘 由 一 些 不 可 分 割 的 原子 操作 组 成 的 集合 。 当 命令 行 界面 提供 增 量 命令 时 ， 每 
一 条 命令 只 能 完成 一 步 操 作 ， 因 此 一 个 事务 就 是 包括 若干 命令 的 集合 。 当 命令 行 界面 提供 复杂 
命令 时 ， 每 一 条 命令 可 以 完成 多 步 操 作 ， 因 此 一 个 事务 可 以 只 包含 一 条 命令 。 例 如 ， 我 们 可 以 想 
象 有 这 样 一 台 路 由 器 ， 它 的 管理 界面 只 提供 一 条 命令 就 能 启用 所 有 的 接口 。 如 果 这 条 命令 是 以 
事务 的 方式 执行 的 ， 那 么 一 旦 出 现 硬件 问题 就 会 中 断 接 口 的 局 用 过 程 。 同 时 ， 命 令 会 报告 错误 并 
且 不 启用 任何 接口 。 事 务 界面 之 所 以 重要 ， 是 与 人 类 的 交互 作用 紧密 相关 的 : 


因为 它 解除 了 管理 员 撤销 部 分 操作 的 责任 ， 管 理 界面 将 许多 操作 划分 为 事务 ， 这 样 既 


方便 了 使 用 又 减少 了 人 们 出 错 的 可 能 性 。 





界面 除了 能 够 自动 地 决定 怎样 将 命令 划分 为 事务 以 外 ， 还 可 以 允许 管理 员 动 态 地 定义 事务 。 
例如 ， 界 面 可 以 使 用 大 括号 来 表示 一 个 事务 〈 如 图 4-2 所 示 ) 。 

显而易见 ， 允 许 管 理 员 自己 定义 事务 范围 的 界面 比 预先 定义 好 事务 内 容 的 界面 更 加 灵活 。 
管理 员 可 以 在 任意 范围 内 指定 原子 操作 : 假如 在 事务 执行 的 过 程 中 发 生 错 误 ， 系 统 必 须 能 够 恢 
复 到 初始 的 状态 。 | 


Transaction name { 
Command, 


Command, 


Command, 


} « end of transaction 





图 4-2 事务 的 语法 结构 : 管理 员 可 以 将 多 条 命令 定义 成 一 个 事务 。 
一 旦 事务 被 创建 ， 我 们 可 以 通过 事务 的 名 称 调用 它 
为 了 理解 潜在 的 问题 ， 我 们 假设 管理 员 在 事务 中 加 入 了 可 以 修改 大 型 数据 结构 (比如 ARP 
协议 高 速 缓存 或 者 转发 表 ) 的 命令 。 这 样 的 话 ， 系 统 必须 保存 一 些 用 于 重建 原始 数据 结构 的 信 
息 以 防止 事务 中 的 命令 在 执行 的 过 程 中 出 现 错误 。 但 是 ， 存 储 一 份 数据 拷贝 需要 额外 的 内 存 。 因 
此 ， 我 们 可 以 总 结 如 下 : 


虽然 允许 管理 员 定 义 事务 的 界面 比 固定 事务 定义 的 界面 功能 更 强大 ， 但 是 允许 管理 员 


定义 原子 操作 的 范围 也 意味 着 系统 必须 拥有 足够 的 资源 ， 以 便 从 任何 的 改变 中 恢复 
过 来 。 





有 趣 的 是 ， 网 络 元 素 往往 是 按照 更 改 配置 的 方式 而 有 所 不 同 : 一 些 网 络 元 素 会 根据 最 新 的 
配置 立即 做 出 变化 ， 而 另 一 些 元 素 需要 重新 启动 才能 使 配置 生效 。 在 任何 一 种 情况 下 ， 配 置 错误 
的 结果 往往 都 是 灾难 性 的 : 无 论 是 立即 开始 还 是 重新 启动 ， 网 络 元 素 都 变 得 不 可 达 。 在 4.13 市 
将 会 研究 一 种 自动 的 回 滚 机 制 帮助 我 们 在 灾难 性 的 配置 错误 之 后 进行 恢复 。 
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4.12 ”配置 过 程 中 的 提交 与 回 滚 


作为 定义 事务 的 可 选择 界面 ， 一 些 网 络 元 素 的 管理 系统 会 为 管理 员 提供 手动 方式 来 恢复 部 
分 配置 。 主 要 包括 两 种 类 型 ， 

o 快照 回 滚 

。 增 量 回 滚 

理解 最 简单 的 故障 恢复 机 制 涉 及 使 用 快照 回 滚 。 在 更 改 配置 之 前 ， 管 理 员 需要 对 配置 拍摄 
快照 〈 即 拍摄 网 络 元 素 当 前 状态 的 快照 ) 。 然 后 ， 管 理 员 会 输入 命令 更 改 网 络 元 素 的 配置 。 配 置 
的 更 改 范围 非常 广泛 〈 即 他 们 可 以 对 网 络 元 素 的 进行 任意 修改 ) 。 因 为 每 一 条 命令 都 会 立即 生 
效 ， 所 以 管理 员 可 以 在 任何 时 候 测 试 系统 ， 验 证 他 所 做 出 的 更 改 是 否 产生 了 应 有 的 效果 。 如 果 管 
理 员 遇 到 了 问题 或 者 决定 取消 原来 的 更 改 ， 那 么 他 就 会 通知 系统 使 用 快照 回 滚 到 先前 的 状态 。 

网 络 元 素 管 理 系统 使 用 的 第 二 种 手动 恢复 机 制 就 是 增 量 回 滚 。 事 实 上 ， 增 量 回 滚 能 够 使 管 
理 员 具备 撤销 之 前 的 命令 和 事务 的 能 力 。 增 量 回 滚 的 一 个 重要 限制 在 于 它 所 能 回 滚 的 操作 的 数 
量 。 一 个 允许 撤销 任意 步 操作 的 系统 比 一 个 允许 撤销 一 步 操作 的 系统 有 用 得 多 。 但 是 允许 任意 
地 回 滚 要 求 系统 存储 之 前 每 一 步 操作 的 信息 。 


4.13. 自动 回 滚 与 超时 


我 们 可 以 扩展 一 下 回 滚 的 概念 ， 将 超时 机 制 包括 在 其 中 : 当 管 理 员 开始 一 个 事务 的 时 候 ， 系 
统 会 局 动 一 个 定时 器 。 如 果 事 务 运行 失败 或 者 在 定时 期 满 之 前 不 能 够 完成 ， 系 统 就 会 自动 地 将 
事务 未 完成 的 消息 通知 管理 员 ， 然 后 采用 回 深 机 制 恢复 系统 。 当 事务 需要 执行 很 长 的 时 间 ， 使 得 
管理 员 失 去 耐心 的 时 候 ， 或 者 当 一 个 配置 错误 阻止 了 网 络 元 素 与 管理 员 之 间 进 一 步 通信 的 时 候 ， 
自动 回 滚 机 制 是 非常 有 用 的 。 

供应 商 至 少 会 将 回 滚 机 制作 为 他 们 管理 界面 中 的 一 部 分 。 在 这 样 的 系统 中 ， 如 果 一 个 事务 
在 入 秒 内 (默认 是 75 秒 ) 不 能 够 完成 ， 事 务 就 会 自动 回 滚 。 


4. 14 快照 、 配 置 与 部 分 状态 


我 们 需要 人 存储 多 少 信 息 用 于 回 滚 呢 ? 答案 取决 于 系统 是 需要 存储 所 有 状态 的 拷贝 还 是 仅仅 
需要 足够 的 信息 用 于 恢复 状态 。 如 果 一 条 命令 拥有 一 条 反 转 命令 ， 那 么 反 转 命令 比 一 个 完整 的 
系统 快照 占有 的 存储 空间 更 少 。 因 此 ， 如 果 管 理 员 将 一 个 交换 机 端口 号 从 虚拟 局 域 网 i 移 至 虚拟 
局 域 网 j， 系 统 就 可 以 存储 一 条 回 滚 命 令 将 端口 从 虚拟 局 域 网 j 移 至 虚拟 局 域 网 i。 在 管理 命令 没 
有 反 转 命令 的 情况 下 ， 我 们 需要 存储 一 些 数据 结构 或 者 整个 系统 的 快照 。 例 如 ， 当 一 个 网 络 元 素 
的 操作 系统 重 载 时 ， 我 们 需要 更 改 许 多 状态 ， 通 常情 况 下 恢复 一 个 快照 更 加 容易 。 | 

反 转 命令 的 存在 与 否决 定 了 是 快照 回 滚 还 是 增 量 回 滚 需要 占用 更 多 的 空间 。 我 们 考虑 一 个 
Ste N 步 增 量 回 滚 的 系统 。 如 采 每 一 条 命令 都 有 一 条 肥 转 命令 的 话 ， 那么 用 于 存储 增 量 回 深信 
EREHE N, HEF c 表示 存储 一 条 命令 所 需 的 空间 。 如 果 所 有 的 命令 都 没有 反 转 命令 ， 那 么 
系统 需要 一 个 大 小 为 NS 的 空间 ， 其 中 5 表示 一 个 完整 快照 的 大 小 。 因 此 ， 如 果 命令 没有 反 转 命 
令 ， 那 么 增 量 回 滚 就 会 比 管理 员 手 工 保存 一 个 快照 需要 更 多 的 空间 。 

上 面 的 讨论 可 以 辟 络 如 下 : 存储 快照 所 需 空间 的 大 小 取决 于 系统 是 保存 内 部 数据 值 还 是 保 
存 用 于 重建 数据 值 的 信息 。 事 实 上， 我 们 可 以 看 出 ， 存 储 整个 的 配置 往往 比 存储 数据 值 节 省 更 多 
的 空间 。 

一 些 网 络 元 素 确实 允许 管理 员 一 次 装载 全 部 的 配置 信息 ， 而 不 是 每 次 只 输入 一 条 配置 信息 。 
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但 是 我 们 必须 记 住 ， 虽 然 配 置信 息 管理 了 许多 项 ， 但 是 它 只 是 指定 了 部 分 状态 信息 。 因 此 ， 弄 清 
回 深 到 前 一 个 状态 与 根据 部 分 信息 重建 新 状态 的 区 别 是 十 分 重要 的 。 


因为 复杂 网 络 元 素 ( 比如 路 由 器 ) 的 配置 文件 并 不 能 获得 所 有 的 相关 信息 ， 所 以 回 滚 





到 前 一 个 状态 不 能 够 仅仅 依赖 于 重新 装 入 所 有 的 配置 信息 。 


4.15 分离 设置 与 激活 


一 些 管理 界面 使 用 替代 范 型 来 避免 配置 改变 所 带 来 的 问题 。 管 理 界面 不 再 适应 不 断 增 长 的 
变化 ， 而 是 将 配置 划分 为 两 个 完全 独立 的 步 又 : 设置 与 激活 。 

在 设置 阶段 ， 管 理 员 下 载 一 系列 的 配置 请 求 。 同 时 网 络 元 素 进 行 一 致 性 和 正确 性 检查 ， 但 不 
应 用 改变 。 如 采 请 求 没 有 经 过 正确 性 测试 ， 管 理 员 必须 重新 下 载 一 系列 的 反 转 请 求 。 因 此 ， 管 理 
员 可 以 不 断 地 进行 修改 ， 直 到 请 求 集合 满足 目标 元 素 的 要 求 为 止 。 

元 紊 一旦 通过 了 一 套 请 求 ， 该 元 素 就 允许 管理 员 激 活 更 改 的 配置 。 因 为 网 络 元 素 可 以 预 处 
理 请 求 并 且 产 生 合适 的 内 部 数据 结构 ， 所 以 激活 工作 能 够 快速 地 进行 。 特 别 地 ， 一 个 网 络 元 素 可 
以 不 经 过 重启 而 利用 激活 过 程 来 安装 一 套 新 的 配置 。 


4. 16 ”配置 多 个 网 络 元 素 


运 今 为 止 , 我 们 的 研究 只 集中 在 一 个 网 络 元 素 上 。 正 如 在 后 面 我 们 将 要 看 到 的 ， 经 过 多 个 网 
络 元 素 的 服务 的 配置 更 加 复杂 。 例如， 一 个 MPLS 隧道 能 够 跨越 多 个 路 由 器 。 类 似 地 ， 在 网 络 元 
素 的 配置 与 服务 (比如 DHCP) 的 配置 之 间 可 能 需要 进一步 的 协调 。 因 此 ， 复杂 的 配置 要 求 协调 
多 个 平台 间 的 事务 和 回 滚 机 制 。 

目前 大 致 有 两 种 解决 方案 : 一 种 是 递归 ， 在 这 一 方案 中 ， 每 一 个 元 素 都 会 向 其 他 元 素 提出 请 
求 ， 直 到 整个 事务 实现 为 止 ; 另 一 种 是 迭代 ， 在 这 一 方案 中 ， 管 理 系统 会 联系 事务 所 需 的 所 有 网 
络 元 紊 。 弟 归 的 方法 可 以 隐藏 元 素 之 间 的 依赖 ,但 是 可 能 会 形成 环 和 死 锁 。 和 迭代 的 方法 消除 了 
环 ， 但 是 要 求 管理 系统 了 解 所 有 网 络 元 素 的 依赖 性 以 及 内 部 之 间 的 联系 。 


4.17 总 结 


配置 是 网 络 管理 中 最 重要 同时 也 是 最 困难 的 方面 之 一 。 虽 然 协议 栈 的 每 一 层 都 需要 配置 ， 
但 是 每 一 可 配置 项 目 之 间 都 存在 着 语义 的 依赖 性 。 

因为 配置 需要 指定 初始 状态 和 控制 操作 ， 所 以 它 与 网 络 的 全 局 状态 紧密 相关 。 虽 然 配 置 了 
许多 选项 ， 但 是 一 个 网 络 元 素 状态 会 随 着 网 络 的 运行 不 断 改变 。 更 重要 的 是 ， 评 估 一 个 网 络 元 素 
配置 的 正确 性 与 网 络 的 全 局 配置 密切 相关 。 

网 络 元 素 的 管理 界面 允许 对 配置 进行 增 量 修改 ; 也 可 以 用 事务 将 这 些 修 改 划 分 为 原子 单元 。 
管理 界面 可 以 支持 快照 回 滚 和 增 量 回 滚 ; 存储 的 回 滚 信息 的 大 小 依赖 于 每 一 条 配置 命令 是 否 拥 
有 一 个 反 转 命令 以 及 允许 撤销 的 命令 数 。 

配置 跨越 多 个 网 络 元 素 的 服务 比 配 置 一 个 单独 的 网 络 元 素 复杂 得 多 。 在 递归 的 方法 中 ， 控 
制 权 从 一 个 元 素 传递 到 另 一 个 元 素 ; 在 迭代 的 方法 中 ， 管 理 员 需 要 一 次 配置 所 有 元 素 。 








第 5 章 ”故障 检测 与 修正 


5.1 简介 


本 书 前 面 的 章节 已 经 介绍 了 网 络 管理 的 问题 并 且 定 义 了 FCAPS 模型 。 第 4 章 详细 介绍 了 
FCAPS 模型 的 一 个 重要 方面 : 配置 。 

在 本 章 中 ， 我 们 将 研究 网 络 管理 的 另 一 个 重要 方面 : 故障 检测 与 修正 。 本 章 将 定义 网 络 故障 
的 概念 ， 探 寻 故 障 发 生 的 原因 ， 并 讨论 网 络 管理 员 检测 故障 和 修正 故障 的 方法 。 


5.2 网 络 故 障 


我 们 使 用 网 络 故障 (network fault) 这 一 概念 泛 指 那些 能 够 引起 网 络 运行 故 详 或 者 产生 不 项 
望 的 结果 的 条 件 和 问题 。 在 FCAPS 模型 中 ， 故 障 的 概念 广泛 应 用 于 通信 、 计 算 设备 和 服务 中 。 
因此 ， 任 何 硬 件 或 软件 都 有 可 能 发 生 故 障 。 

{E FCAPS 的 定义 中 ， 故 障 往往 与 数据 包 转 发 问题 ( 比如 向 指定 地 点 传送 数据 包 失 败 )、 策 
略 管理 问题 (人 允许 本 该 阻止 的 数据 包 进 入 ) 、 服 务 右 问题 (比如 停机 )， 以 及 设备 问题 (比如 断 
E) 密切 相关 。 简 而 言 之 ， 网 络 中 的 任何 问题 实质 上 都 可 以 被 划分 为 故障 。 


5.3 MERA. TELKA A 


网 络 管理 员 能 够 从 故障 报告 (trouble report) 中 了 解 到 网 络 中 的 故障 。 网 络 用 户 提 供 故 障 报 
告 的 来 源 : 当 网 络 应 用 没有 按 预 期 的 效果 执行 时 ， 用 户 就 可 以 问 管 理 员 发 送 报告 指出 问题 。 

故障 报告 有 两 个 令 人 感 兴趣 的 特征 。 首 先 ， 许多 故障 报告 系统 使 用 网 络 将 用 户 的 报告 发 送 
给 管理 员 。 在 某 些 实现 中 ， 用 户 需 要 填写 网 页 上 的 表单 ， 然 后 将 这 张 表单 发 送 给 管理 员 ; 在 另 一 
些 实现 中 ， 用 户 需 要 发 送 电 子 邮 件 。 其 次 ,用户 仅仅 报告 了 故障 的 症状 (例如 ， 一 个 应 用 程序 
没有 按照 用 户 的 要 求 运 行 )。 

上 述 两 个 特征 都 会 产生 各 自 的 结果 。 如 末 使 用 网 络 来 传递 故障 报告 ,那么 一 旦 网 络 故 障 严 
重 到 会 阻止 通信 的 时 候 ， 网 络 管理 员 将 不 会 收 到 任何 报告 。 依 徘 用 户 填 写 故 障 报 告 意味 着 报告 
中 关于 症状 描述 常常 是 含混 不 清 、 令 人 难以 理解 的 。 例 如 ， 一 名 用 户 报告 : 

My email is not working. 《我 的 电子 邮件 不 能 正常 工作 )》 

他 也 许 是 说 电子 邮件 的 传送 得 非常 缓慢 ， 也 许 是 说 自己 的 电脑 不 能 使 用 电子 邮件 应 用 程序 ， 
也 许 是 说 网 络 没有 连接 上 ， 也 有 可 能 是 说 他 发 出 的 电子 邮件 被 退 了 回来 。 因 此 一 份 故 障 报告 仅 
仅 是 一 条 线索 一 一 管理 员 在 决定 网 络 是 否 发 生 故障 之 前 必须 做 深入 的 调查 研究 。 我 们 将 本 小 节 
内 容 概括 如 下 : 





因为 仅仅 列 出 了 症状 ， 所 以 一 份 用 户 故 障 报 告 只 包含 了 问题 的 一 部 分 信息 。 管 理 员 必 


须 将 观察 到 的 关于 故障 的 描述 转化 为 一 个 根本 的 原因 。 





5.4 故障 检测 与 诊断 
我 们 使 用 故障 检测 (troubleshooting) 来 表示 发 现 网 络 故障 原因 的 过 程 。 因 为 故障 检测 需 
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A 
若干 故障 报告 做 出 一 个 关于 故障 原因 的 假设 ， 然 后 通过 调查 证 实 故障 的 原因 ， 节 后 绸 进行 故障 
维修 。 

总 之 ， 对 于 故障 检测 来 说 ， 再 多 的 信息 也 不 够 。 改 障 诊 断 要 求 管 理 员 使 用 所 有 可 用 的 线索 ， 
包括 来 自 设备 的 报告 、 用 户 的 故障 报告 和 诊断 工具 ”的 分 析 。 进 一 步 说 ， 因 为 故障 报告 通常 指出 
的 是 运行 的 问题 而 不 是 清楚 而 详细 的 错误 ， 所 以 管理 员 必 须 将 观察 到 的 现象 与 软 硬 件 联系 起 来 。 
因此 ,管理 员 对 网 络 的 物理 结构 和 侵 辑 结构 了 解 得 越 清楚 就 越 容易 查 明 故 障 的 原因 。 

5.5 监控 | 

网 络 管理 员 怎 样 才能 知道 一 台 网 络 元 素 是 否 正常 运行 呢 ? 检测 故障 的 最 有 效 方法 之 一 就 是 
使 用 监控 (monitoring)。 也 就 是 说 ,管理 员 会 安排 测量 网 络 元 素 和 网 络 流量 。 通 常 ， 网 络 监控 
由 一 个 自动 软件 系统 来 实现 。 该 软件 系统 会 不 断 地 收集 信息 ， 然 后 将 这 些 信息 以 可 视 化 形式 展 
示 给 管理 员 。 例 如 ， 一 名 ISP 可 能 会 使 用 目 动 软件 来 监控 ISP 与 Internet 之 间 的 流量 。 图 5-1 说 明 
了 监控 信息 是 如 何 显示 的 。 

利用 率 


100%. 
75% 
50% 


25% 


星期 星期 二 星期 三 星期 四 星期 五 
图 5-1 ”监控 输出 结果 显示 了 一 条 链 路 5 天 内 的 利用 率 。 
和 输出 结果 显示 在 星期 五 所 有 的 流量 突然 下 降 至 0 


如 上 图 所 示 ， 一 个 自动 监控 系统 能 够 帮助 管理 员 快 速 地 发 现 问 题 ( 比如 流量 突然 中 断 )。 
5.6 基线 


因为 监控 可 以 帮助 管理 员 快 速 地 发 现 问题 ， 所 以 它 为 故障 检测 提供 了 一 种 便捷 的 方式 。 但 
是 监控 也 存在 着 两 大 缺点 : 

e 大 型 的 网 络 往往 会 包含 多 条 链 路 和 多 人 台 设 备 。 

。 正常 的 网 络 流量 也 千变万化 。 | 

网 络 规模 为 什么 如 此 重要 ? 我 们 从 前 面 的 介绍 中 已 经 了 解 到 大 型 网 络 通常 包含 数 千 台 设备 。 
BBW CMOS) 可 以 连接 多 个 物理 网 络 。 这 意味 着 监控 多 条 链 路 会 产生 数 千 个 类 似 
于 图 5-1 所 示 的 结果 。 对 于 网 络 管理 员 来 说 ， 他 不 可 能 逐一 检查 数 干 条 结果 。 


全 ”本 书 的 第 二 部 分 将 介绍 诊断 工具 。 
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许多 严重 的 监控 问题 都 源 于 流量 的 变化 。 例 如 ， 在 许多 网 络 中 ， 流 量 会 在 晚间 和 周末 降 到 一 
个 较 低 的 水 平 。 由 于 自动 监控 系统 过 于 简单 ， 因 此 每 当 流 量 下 降 到 一 个 设 定 的 极限 值 时 ， 系 统 就 
会 发 出 警报 并 通知 管理 员 。 

为 了 解决 上 述 问题 ， 自 动 监控 系统 通常 采用 一 些 统计 的 方法 : 系统 持续 监控 网 络 流量 ， 但 是 
只 有 在 流量 出 现 “ 异 常 ” 的 情况 下 ， 系 统 才 会 通知 管理 员 。 也 就 是 说 ， 系 统 不 再 设 定 一 个 绝对 
的 病 伸 ， 而 是 采用 一 种 基线 测量 (baseline measurement) 的 方法 ， 经 过 一 段 长 期 的 观察 后 再 进行 
设 定 。 一 旦 建立 了 基线 ， 就 可 以 将 网 络 的 测量 结果 与 基线 进行 比较 。 

例如 ， 如 果 监 控 系 统 搜 集 了 一 条 链 路 在 一 周 时 间 内 每 隔 30 分 钟 流 经 的 数据 包 数 。 一 旦 搜集 
了 数 周 的 情况 ， 我 们 就 可 以 为 每 一 个 时 间 间 隔 计算 一 条 基线 (包括 平均 值 和 标准 差 )。 我 们 可 以 
设 定 一 些 参数 ， 一旦 流量 与 统计 的 轮廓 不 符 ( 比如 超过 平均 值 的 标准 差 )， 系 统 就 会 通知 管 
理 员 。 . 









因为 网 络 中 的 数据 流 会 随时 间 不 断 地 发 生 显著 的 变化 ， 使 用 绝对 阅 值 的 网 络 监控 系统 
会 产生 许多 错误 的 警报 。 为 了 更 有 效 地 监控 网 络 ， 只 有 当 流 量 与 基线 测量 的 结果 差别 
较 大 时 ， 监 控 系 统 才 会 向 管理 员 报 警 。 









5.7 可 以 监控 的 项 目 


上 面 的 讨论 集中 在 监控 一 条 链 路 的 情况 。 但 是 ， 我 们 完全 可 以 监控 其 他 的 网 络 设备 和 装置 。 
例如 ， 除 了 链 路 监控 需 以 外 ， 供 应 商 还 提供 了 可 以 监控 以 下 项 目的 系统 ; 

© 交换 机 a 

© 路 由 器 

© ) ak ie Be E 

。 服务器 〈 例 如 ， 电 子 邮件 、 网 页 以 及 域名 服务 ) 

。 应 用 软件 Í 

© 操作 系统 

。 应 用 网 天 

o 打印 机 

o 数据 库 

o 安全 服务 与 安全 机 制 


58 报警 、 日 志 以 及 轮 询 


监控 数据 是 怎样 表示 出 来 并 传送 给 管理 员 的 呢 ? 目前 有 儿 种 方法 。 如 果 一 个 网 络 元 素 包 含 
了 管理 系统 设施 (比如 ， 一 个 独立 的 CPU 或 用 于 完成 管理 任务 的 软件 ) ， 那 么 该 系统 就 可 以 分 
析 事 件 并 为 管理 员 生 成 报告 。 如 果 一 个 网 络 管理 元 素 不 包含 网 络 管理 设施 ， 那 么 可 以 使 用 一 个 
单独 的 计算 机 系统 从 一 个 或 多 个 网 络 系 统 中 搜集 事件 并 进行 处 理 。 

无 论 事件 是 在 网 络 元 素 的 内 部 处 理 还 是 通过 一 个 独立 的 系统 在 外 部 处 理 ， 数 据 表 示 与 范 型 
都 是 需要 的 。 数 据 表 达 方 式 的 选择 依赖 于 需要 通信 的 项 目 大 小 和 复杂 程度 〈 使 用 二 进 制 、ASCI 
码 以 及 XML 语言 ) 。 范 型 依赖 于 期 望 事件 发 生 的 频率 。 可 行 的 方法 包括 
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e SE A E 

o 轮 询 

报警 (alarm) 的 方法 要 求 网 络 元 素 在 检测 到 问题 的 时 候 向 管理 系统 发 送 错误 报告 。 事 件 日 
志 (event log) 的 方法 会 将 事件 记录 在 一 个 文件 中 ， 可 能 是 一 个 整个 网 络 都 可 以 访问 的 文件 。 然 
后 ， 日 志文 件 会 被 离线 检查 (比如 在 晚间 检查 ) 。 轮 询 (polling) 的 方法 会 定期 地 查询 网 络 元 素 
的 状态 。 

范 型 与 表达 的 开销 是 监控 中 出 现 的 问题 之 一 。 特 别 是 ， 如 果 当 管理 事件 与 其 他 数据 流 在 同 
一 个 网 络 中 传输 时 ， 我 们 必须 防止 表达 与 范 型 产生 的 管理 数据 流 淹没 了 整个 网 络 。 


5.9 识别 错误 的 原因 


因为 网 络 包 含 了 多 种 类 型 的 设备 与 服务 ， 所 以 错误 产生 的 原因 很 多 。 例 如 ， 以 下 的 问题 都 会 
引起 错误 ， 

o 传输 链 路 故障 

© 了 网络 元 素 故 障 

© 软件 错误 

© 协议 错误 

。 恶意 攻击 

e。 出 乎 意料 增长 的 流量 

。 接口 中断 

e fC A atk 

传输 链 路 故障 : 一 条 物理 传输 线路 的 断 开会 造成 整个 连接 中 断 。 这 是 已 经 公布 的 故障 之 中 
最 容易 发 生 的 一 种 情况 。 由 于 电缆 的 损坏 常常 与 建设 事故 有 关 ， 该 问题 也 被 人 们 称 为 “挖掘 机 
引起 的 故障 ”。 

在 无 线 传输 系统 中 ， 信 号 干扰 和 持久 中 断 都 可 能 导致 链 路 故障 。 例 如 ， 一 架 飞 机 能 够 短暂 地 
阻止 卫星 通信 ; 植物 可 以 阻挡 点 对 点 的 微波 传输 。 对 于 使 用 Wi-Fi 技术 的 无 线 共 享 链 路 来 说 ， 干 
扰 来 自 于 无 线 电 信和 号 的 传输 以 及 一 些 金属 结构 。 值 得 一 提 的 是 Wi-Fi 技术 将 移动 计算 机 与 Wi-Fi 
基站 关联 (association) 起 来 。 随 着 移动 计算 机 不 断 地 移动 ， 链 路 的 质量 将 会 不 断 恶 化 ， 最 终 达 
到 不 可 使 用 的 程度 。 

网 络 元 素 故 障 : 单独 的 网 络 设备 〈 比 如 路 由 器 、 交 换 机 ) 也 会 由 于 多 种 原因 而 发 生 故 障 。 
例如 ， 如 果 中 心 供电 系统 发 生 了 故障 ， 那 么 整个 网 络 中 的 设备 都 会 停止 运行 而 完全 失效 (com- 
plete failure) 。 如 此 的 灾难 性 故障 是 非常 容易 检测 到 的 ; 相 比 之 下 ， 诊 断 部 分 性 故障 (partial fail- 
ure) 更 加 困难 。 因 为 在 这 种 故障 中 ， 设 备 的 一 些 组 件 已 经 失效 而 另 一 些 仍然 在 运行 。 例 如 ， 拥 
有 多 个 插 槽 或 多 个 背 板 的 网 络 元 素 可 能 会 发 生 这 样 的 故障 一 一 插入 一 个 插 权 的 接口 可 以 正常 工 
作 但 是 插入 另 一 个 插 槽 的 接口 却 不 能 工作 。 

软件 故障 : 一 般 而 言 ， 软 件 系 统 比 人 硬件 系统 不 可 靠 ， 它 经 常会 出 现 一 些 故 障 。 令 人 惊讶 的 
是 ， 绝 大 多 数 网 络 元 素 都 含有 大 量 的 软件 ， 其 中 包括 专用 操作 系统 、 设 备 驱 动 以 及 协议 栈 。 因 
此 ， 除 了 应 用 软件 〈 比 如 Web 服务 器 、 电 子 邮 件 系 统 ) 以 外 ， 网 络 管理 员 必 须要 处 理 好 系统 软 
件 的 故障 。 | 

作为 软件 错误 的 一 个 特例 ， 我 们 考虑 一 下 软件 更 新 问题 。 大 多 数 路 由 器 拥有 操作 系统 ， 同 时 
供应 商会 不 断 地 更 新 操作 系统 软件 的 版 本 。 在 大 多 数组 织 中 ， 路 由 器 需要 不 断 地 运行 。 因 此 ， 和 软 
件 需要 在 线 进 行 更 新 一 -管理 员 芹 时 地 停止 路 由 硕 ， 安 闭 新 版 本 的 软件 ， 然 后 立即 重 司 路 由 器 ， 
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最 后 观察 是 否 出 现 故障 。 

协议 错误 : 通信 协议 的 作用 在 于 协调 数据 传输 并 且 克 服 一 些 网 络 的 错误 。 尤 其 是 关于 路 由 
信息 的 通信 协议 ， 它 可 以 在 链 路 发 生 故 障 的 时 候 自 动 地 监测 故障 ， 然 后 选择 一 条 新 的 路 径 作 为 
路 由 来 传输 数据 ， 从 而 使 网 络 尽快 地 从 故障 中 恢复 过 来 。 

尽管 被 设计 用 来 自动 地 解决 一 些 网 络 错误 的 ， 但 协议 本 身 却 可 能 引入 另外 一 些 错误 。 例 如 ， 
在 某 些 条 件 下 ， 一些 路 由 协议 会 建立 一 个 路 由 环 路 (routing loop) ， 数 据 包 会 在 这 个 路 由 环 路 中 
不 断 地 转发 下 去 。 这 样 一 旦 数据 报 进 入 路 由 回路 ， 就 会 不 断 地 沿 环 路 传输 ， 从 而 不 能 到 达 它 的 目 
的 地 址 。 在 另外 一 些 情况 下 ， 路 由 协议 会 创建 出 一 个 “黑洞 ” 一 个 或 更 多 的 路 由 器 都 没有 
到 达 某 个 地 址 的 路 径 。 

BSA: 在 第 8 章 中 ， 我 们 将 会 详细 地 讨论 网 络 安全 问题 。 但 是 ， 我 们 要 在 这 里 指出 : 恶 
意 攻击 已 经 成 为 网 络 故障 的 来 源 之 一 。 尤 其 是 拒绝 服务 攻击 《denial- of- service) ， 它 可 以 破 环 网 
络 并 且 阻 止 其 他 数据 流 正常 传输 。 

出 平 意料 的 流量 增长 : 即使 网 络 没有 受到 攻击 ， 它 也 可 能 因为 数据 包 的 原因 而 遭 到 破坏 。 合 
法 的 数据 流 突 然 增 长 也 会 引发 故障 。“ 突 发 流量 ”(flash crowd) 这 个 短语 有 时 就 用 于 描述 这 种 情 
况 。 例 如 ， 在 2001 年 世贸 中 心 的 您 怖 秦 击 发 生 之 后 ,混乱 的 用 户 都 希望 尽快 了 解 当 时 的 情况 ， 
因此 许多 商业 新 闻 网 站 的 网 络 都 没 能 抵挡 住 犹如 洪水 般 的 请 求 。 类 似 的 故障 还 可 能 发 生 在 一 个 
网 站 突然 流行 起 来 的 时 候 。 

接口 中 断 : 中 断 是 一 种 常见 的 故障 ， 尤 其 对 于 用 户 可 访问 的 设备 而 言 。 事 实 上 ， 中 断 故 障 非 
币 普 届 ， 以 至 于 许多 操作 系统 都 有 预警 机 制 。 当 网 络 接口 出 现 连 接 丢 失 的 情况 时 (比如 线 缆 被 
拔 出 的 情况 ) ， 系 统 就 会 各 用 户 报警 。 当 中 断 发 生 在 由 数 千 条 线 缆 接 人 的 交换 机 时 ， 人 们 不 得 不 
手工 来 分 辨 连接 一 一 未 接 人 的 错误 线 缆 可 能 会 在 不 经 意 间 中 断 一 台 设 备 的 连接 。 因 此 这 种 情况 
是 一 个 令 人 头疼 的 问题 。 

配置 错误 : 错误 的 配置 也 是 使 网 络 发 生 故 障 的 重要 原因 之 一 。 例 如 ， 我 们 可 以 考虑 使 用 可 变 
长 子 网 掩 码 的 情况 。 在 正确 地 分 配子 网 号 之 前 ,我 们 需要 仔细 考虑 当前 级 之 间 发 生 交 从 的 时 候 
怎样 分 配 每 一 比特 的 值 。 如 果 管 理 员 只 是 按 顺序 分 配子 网 号 (比如 1，2，3，,，…)， 那 么 将 会 导 
致 混乱 的 局 面 。 一 些 主 机 之 间 会 无 法 进行 通信 。 遗 憾 的 是 ， 无 法 从 表面 上 看 出 含混 不 清 的 子 
网 一 一 只 有 当 一 对 互相 影响 的 主机 之 间 进 行 通信 的 时 候 ， 问 题 才 会 显现 出 来 。 


5.10 ”人 工钱 误 与 网 络 故障 


什么 原因 最 有 可 能 引发 故障 呢 ? 上 一 节 列 出 了 可 能 引发 故障 的 诸多 错误 ,但 是 没有 指出 哪 
一 种 错误 最 有 可 能 发 生 。 列 表 前 半 部 分 列 出 的 原因 主要 是 网 络 技术 上 的 错误 ， 后 半 部 分 则 主要 
是 人 工 引 起 的 错误 。 当 Internet 刚刚 在 实验 室 出 现 的 时 候 ， 硬 件 与 软件 的 错误 就 已 经 很 普遍 了 。 
有 趣 的 是 ， 根 据 研究 ， 人 工 的 错误 是 故障 最 重要 的 来 源 [ Fox and Patterson 2003 ] 。 例 如 ， 研 究 
表明 ，51 旬 的 网 站 放 障 都 是 由 于 操作 收 障 所 致 。 在 该 研究 报告 中 ， 作 者 说 到 : 











我 们 惊奇 地 发 现 ， 操 作 错 误 已 经 成 为 导致 网 络 故障 的 首要 因素 。 





当 我 们 讨论 是 动 网 络 管理 系统 的 时 候 ， 关 于 人 工 错误 是 导致 网 络 故 障 最 主要 原因 的 发 现 是 
非常 重要 的 。 


5.11 协议 分 层 与 错误 
我 们 发 现 ， 错 误 饥 布 于 协议 栈 的 各 个 层 。 传 输 链 路 中 断 与 第 一 层 的 错误 由 关 。 无 线 局 域 网 的 
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故障 与 CRC 错误 发 生 在 第 二 层 。 第 三 层 的 错误 包括 子 网 地 址 划分 不 清和 地 址 重复 分 配 。 在 第 四 
层 ， 传 输 协 议 〈 比 如 UDP 协议 ) 能 够 报告 校 验 和 错误 。 最 后 ， 应 用 层 错误 包括 服务 怖 错误 。 

协议 栈 的 每 一 层 都 出 现 错误 意味 着 网 络 管理 员 在 诊断 错误 之 前 需要 理解 整个 协议 栈 的 各 个 
层次 。 总 结 如 下 : 


由 于 网 络 协 议 栈 的 各 层 都 可 能 发 生 错 误 ， 管 理 员 必 须 了 解 每 个 层 的 功能 。 











5.12 ”隐藏 错误 与 自动 更 正 


人 们 希望 引入 一 些 自动 检测 和 更 正 错误 的 机 制 来 帮助 网 络 运营 。 但 是 ， 这 种 机 制 却 带 来 了 
负面 影响 ， 自动 系 统 在 自行 解决 故障 的 同时 却 隐 藏 了 故障 的 症状 ， 这 样 管理 员 就 无 法 了 解 到 故 
障 的 情况 ， 更 不 用 说 修复 底层 的 错误 了 。 

举 一 个 关于 自动 检测 并 更 正 错误 的 机 制 例子 ， 我 们 考虑 协议 提供 的 比特 错误 检测 技术 与 重 
传 机 制 。 为 了 检测 比特 错误 ， 以 太 网 使 用 了 息 环 兄 余 校 验 码 (Cyclic Redundancy Code, CRC), 
IP 协议 使 用 了 头 校 验 和 (header checksum) 字段 。 在 上 述 任何 一 种 情况 下 ， 差 错 校 验 包 含 了 发 
送 者 与 接收 者 两 个 方面 : 在 传输 之 前 ， 发 送 者 将 CRC 或 者 校 验 和 信息 填写 到 数据 包 中 。 接 收 者 
使 用 这 些 信 息 来 判定 数据 包 是 否 损坏 。 如果 在 从 发 送 者 到 接收 者 之 间 的 传输 中 数据 包 的 比特 发 
生 了 改变 ， 接 收 者 就 会 丢弃 该 数据 包 。 

一 个 可 靠 的 传输 协议 〈 比 如 TCP 协议 ) 使 用 确认 与 重 传 来 解决 数据 包 丢失 的 问题 。 也 就 是 
说 ， 在 传输 数据 包 的 时 候 ，TCP 协议 会 在 发 送 方 设 定 一 个 计时 器 。 如 果 在 收 到 接收 方 关于 成 功 
接收 数据 包 的 确认 消息 之 前 计时 器 超时 ， 那 么 TCP 协议 就 会 要 求 发 送 方 重新 传输 该 数据 包 并 且 
重新 设 定 计时 器 。 

很 明显 ， 上 面 的 机 制 隐藏 了 网 络 故 障 。 假 如 一 台 网 络 元 素 的 接口 硬件 发 生 了 故障 ， 它 会 随机 
地 在 数据 包 中 插入 一 个 或 多 个 0 比特 。 假 设 这 些 数据 包 使 用 TCP 协议 作为 上 层 文 件 传输 的 应 用 
层 协 议 。 接 收 者 会 对 每 一 个 数据 包 进 行 CRC 校 验 ， 判 断 它们 是 否 正确 ， 然 后 丢弃 损坏 的 数据 包 。 
当 传 输 计时 器 超时 后 ， 发 送 者 会 根据 TCP 协议 重新 发 送 数据 包 。 如 果 数 据 包 的 破坏 率 小 于 1， 那 
么 最 终 数据 包 的 拷贝 会 到 达 接 收 端 ， 发 送 端 也 会 收 到 确认 的 消息 ， 因 此 传输 还 能 够 进行 。 

在 上 面 的 例子 中 ， 用 户 与 管理 员 不 会 知道 发 生 的 故障 。 从 用 户 的 角度 来 看 ， 重 传 保证 了 文件 
传输 能 够 正常 进行 (虽然 比较 缓慢 ) 。 从 管理 员 的 角度 来 看 ， 网 络 将 会 变 得 缓慢 ， 但 仍然 能 够 运 
ETE. Ait, KEKER 比如 丢 包 或 拥塞 ) 仍然 被 隐藏 。 

从 重 传 的 例子 中 ， 我 们 发 现 这 种 机 制 给 管理 员 带 来 了 极 大 的 挑战 ， 因 为 它 掩盖 了 故障 ， 没 有 
将 底层 的 错误 暴露 出 来 。 本 节 概 括 如 下 : 





自动 机 制 克服 了 一 些 网 络 故 障 ， 但 没有 将 底层 的 故障 告知 管理 员 ， 因 此 会 导致 网 络 不 


能 以 最 优 的 方式 运行 。 





5.13 自动 监测 与 事件 关联 性 


我 们 已 经 讨论 了 一 种 识别 异常 数据 流 的 重要 方法 : 采用 基线 测量 来 设 定 正 常 值 ， 然 后 根据 
设 定 的 基线 监控 链 路 。 这 种 思想 可 以 归结 为 从 与 数据 流 相关 的 事件 中 查找 不 同 的 事件 : 观察 一 
个 事件 在 一 段 时 间 内 的 发 生 情 况 ， 计 算出 基线 ， 使 用 基线 来 检测 异常 的 行为 。 例 如 ， 如 果 一 条 链 
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路 在 一 天 24 小 时 内 运行 正常 ， 那 么 当 链 路 故障 的 时 候 ， 一 些 行 为 会 超出 预想 的 范围 。 

我 们 使 用 异常 检测 (anomaly detection) 这 个 名 词 来 表示 将 事件 与 基线 进行 比较 的 过 程 ， 同 
时 我 们 认为 管理 员 的 责任 就 是 查找 异常 行为 。 虽 然 这 样 能 够 帮助 管理 员 查 出 潜在 的 问题 ， 但 是 
一 个 单独 的 异常 无 法 提供 足够 的 信息 来 识别 底层 的 故障 。 因 此 ， 管理 员 需 要 找到 将 多 个 异常 信 
息 综合 起 来 的 方法 。 这 种 思想 称 作 事 件 关联 性 (event correlation) 。 

例如 ， 如 有 果 管 理 员 观 察 到 了 链 路 失效 的 异常 ， 他 只 能 猜测 故障 的 原因 。 但 是 ， 如 果 管 理 员 观 
察 到 连接 所 有 链 路 的 交换 机 失效 ， 那 么 他 就 可 以 得 到 结论 交换 机 发 生 了 故障 。 我 们 可 以 总 
结 如 下 ， 








与 孤立 地 考虑 一 个 异常 相 比 ， 将 多 个 异常 联系 起 来 会 给 管理 员 提 供 更 多 的 信息 。 


我 们 注意 到 ， 管 理 员 也 可 以 将 外 部 事件 与 网 络 故障 联系 起 来 。 例 如 ， 如 果 管 理 员 收 到 了 一 个 
网 络 元 素 失效 的 报告 ， 同 时 又 收 到 了 一 个 网 络 元 素 的 接口 在 一 场 雷 暴 过 后 迅速 失效 的 报告 ， 那 
么 他 就 可 以 去 调查 失效 的 元 素 是 否 遭 受 了 雷击 。 

最 后 ， 我 们 注意 到 ， 事 件 的 相关 性 可 以 在 多 个 级 别 上 得 到 应 用 。 例 如 ， 管 理 员 可 以 将 一 种 服 
务 的 所 有 事件 联系 起 来 〈 比如 联系 所 有 的 电子 邮件 异常 )， 或 者 将 多 个 服务 的 事件 联系 起 来 (HE 
如 电子 邮件 的 异常 和 网 页 的 异常 )， 管 理 员 还 可 以 将 一 台 设 备 的 所 有 异常 联系 起 来 (比如 多 个 接 
口 同时 发 生 的 异常 ) 或 者 将 多 台 设备 的 异常 联系 起 来 〈 比 如 一 对 路 由 器 的 异常 ) 。 


5.14 ”故障 预防 


在 FCAPS 模型 的 定义 中 ,方面 不 仅 包 括 了 故障 检测 和 修复 ， 还 包括 了 故障 的 预防 (fault 
prevention) 。 也 束 是 说 ， 除 了 修复 故障 以 外 ， 管 理 员 必须 采取 措施 防止 故障 再 次 发 生 。 进 一 步 
Be, 管理 员 必 须 能 够 发 现 潜在 的 问题 ,然后 采取 一 系列 措施 防止 该 问题 在 未 来 的 某 一 天 再 次 
发 生 。 

因为 没有 人 能 够 知道 末 来 会 发 生 什 么 ， 所 以 预料 故障 是 十 分 困难 的 。 在 后 面 的 一 章 中 我 们 
将 会 详细 地 讨论 预防 工作 的 一 个 方面 一 一 容量 规划 问题 。 我 们 将 会 看 到 管理 员 是 怎样 使 用 流量 
统计 的 方法 计算 网 络 未 来 的 带宽 需求 的 。 


5. 15 总 结 


故障 检测 与 修复 要 求 管理 员 能 够 诊断 故障 并 且 发 现 潜在 的 原因 。 除 了 从 用 户 那 里 得 到 故障 
报告 以 外 ， 管 理 员 还 需要 依靠 自动 网 络 监控 系统 。 为 了 减少 错误 的 警报 ， 我 们 将 基线 与 监控 界限 
做 了 比较 。 与 独立 地 对 异常 进行 分 析 相 比 ， 管 理 员 将 多 个 异常 联系 起 来 可 以 获得 更 多 的 信息 。 

除了 让 每 一 台 设 备 产生 报警 信息 以 外 ， 管 理 系 统 还 可 以 使 用 事件 日 志和 设备 轮 询 的 方案 。 
选择 何 种 方案 与 表示 方法 依赖 于 设备 的 容量 和 预想 的 数据 流量 。 

从 物理 层 到 应 用 层 ， 网 络 故障 可 能 发 生 在 协议 栈 的 任何 一 层 。 然 而 ， 多 层 之 间 的 内 部 自动 机 
制 往往 会 掩盖 故障 的 真相 。 
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第 6 章 审计 和 计 费 


6.1 简介 


在 前 面 几 章 中 已 经 介绍 了 基本 术语 和 相关 知识 背景 。 前 两 章 通过 讨论 配置 和 故障 检测 问题 
介绍 了 网 络 管理 的 FCAPS 模型 ， 本 章 将 重点 讨论 审计 和 计 费 问题 。 后 续 几 章 还 将 继续 对 FCAPS 
模型 进行 讨论 。 


6.2 商业 模型 和 网 络 计 费 


财务 审计 (financial accounting) 是 所 有 商业 行为 的 组 成 部 分 。 因 此 ， 所 有 计算 机 网 络 都 需 
要 某 种 形式 的 财务 审计 。 计 算 机 网 络 的 开销 包括 购买 设备 的 一 次 性 花费 和 用 于 操作 和 维护 的 重 
复 性 花费 。 为 保持 和 僵 利 ， 网 络 运营 商 必 须 计 算 所 需 费 用 并 设计 一 种 服务 收费 方案 来 抵偿 网 络 
开销 。 

FCAPS 模型 中 对 审计 (accounting) 的 定义 不 仅 在 于 保存 详细 记录 ， 还 包括 对 用 户 使 用 的 网 
络 服务 计 费 (billing)。 设 置 计 费 的 原因 出 自 最 原始 的 目的 一 一 FCAPS 模型 是 为 服务 提供 商 (E 
为 付费 用 户 提 供 网 络 服务 的 组 织 ) 设计 的 。 事 实 上 ， 设计 FCAPS 模型 是 为 了 描述 如 何 管理 电信 
网 络 ， 该 模型 在 企业 网 络 中 的 应 用 可 以 视 为 原始 目标 的 扩展 。 

FCAPS 没有 定义 审计 和 计 费 的 具体 实施 细节 ， 而 只 说 明了 必须 支持 各 种 审计 模型 并 能 够 对 
网 络 的 使 用 计 费 。 这 使 得 每 个 网 络 的 管理 员 都 能 够 自由 选择 审计 和 计 费 模型 。 因 此 ， 企 业 网 络 的 
审计 形式 可 能 同 服务 提供 商 网 络 的 审计 形式 完全 不 同 。 


6.3 服务 等 级 协定 


大 多 数 服务 提供 商 网 络 的 审计 和 计 费 都 基于 正式 的 法 律 合 同 ， 称 为 服务 等 级 协定 (Service 
Level Agreement，SLA) 。 服 务 提供 商 要 求 每 个 用 户 签署 一 份 SLA。 此 外 ， 服 务 提供 商会 和 每 个 
同 自己 有 流量 交换 的 ISP 签署 一 份 SLA (PIR, RYE PEA SLA 外 ， 二 级 服务 提 
供 商 至 少 还 需要 同一 个 一 级 服务 提供 商 签署 一 份 SLA) 。 

SLA 中 详细 说 明了 提供 给 用 户 的 网 络 服务 以 及 相应 的 计 费 标准 。 由 于 SLA 属于 合同 的 一 种 ， 
因此 它 具 有 法 律 效力 。 更 重要 的 是 ，SLA 中 包含 了 对 服务 扩 术 以 及 服务 和 费用 之 间 对 应 关系 的 
细节 描述 。 因 此 ， 网 络 管理 员 经 常 需要 起 草 并 检查 SLA 中 的 技术 规范 。 

从 网 络 管理 员 的 角度 来 看 ，SLA 是 一 份 重 要 的 文件 ， 因 为 它 列 出 了 可 能 出 现 的 情况 。 然 而 ， 
SLA 中 的 双方 会 有 不 同 的 期 望 。 从 用 户 的 角度 来 看 ，SLA 列 出 了 必须 提供 的 服务 ， 用 户 希 望 通 
过 SLA 保证 最 低 等 级 的 服务 。 从 服务 提供 商 的 角度 来 看 ，SLA 列 出 了 用 户 可 以 使 用 的 服务 总 量 ， 
提供 商 希望 通过 SLA 限定 用 户 能 够 获得 的 服务 等 级 。 后 续 各 节 将 对 这 两 种 不 同 观点 进行 讨论 。 


6.4 服务 费 
用 户 访 问 Internet 的 计 费 标准 包括 以 下 两 种 基本 形式 : 
e 匀速 流量 计 费 
e 基于 应 用 计 费 
顾名思义 ,匀速 流量 计 费 (flat-rate billing) 是 指 用 户 按 月 缴纳 固定 费用 ， 而 与 流量 类 型 和 
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使 用 量 无 关 。 而 基于 应 用 计 费 (use-based billing) 是 指 网 络 提供 商 根据 用 户 的 使 用 量 或 每 次 访问 
的 具体 网 络 服务 计 费 。 


6.5 匀速 流量 的 服务 审计 


匀速 流量 的 审计 通常 简单 易 行 ,但 SLA 中 的 约束 条 件 会 使 它 变 得 复杂 。 在 最 简单 的 情况 下 ， 
ISP 根据 提供 网 络 服务 的 总 时 间 向 用 户 收 费 。 因 此 ，ISP 会 记录 每 月 提供 网 络 服务 的 时 间 并 据 此 
收取 费用 。 如 果 ISP 提供 的 Internet 连接 在 某 段 时 间 内 出 现 故障 ， 那 么 费用 也 会 相应 减少 ， 用 户 
只 需 支 付 在 可 用 时 间 内 的 服务 费用 。 

SLA 中 的 条 款 会 使 审计 变 得 复杂 。 人 例如， 有些 SLA 会 规定 处 罚 条 球 ， 当 网 络 的 故障 时 间 超 
过 天 分 钟 时 ， 用 户 使 用 费 将 减少 六 美元 。 其 他 SLA 可 能 会 规定 如 果 故 障 发 生 在 工作 时 间 而 非 晚 
间或 周末 等 体 亲 时间， 用户 需 缴纳 的 费用 会 更 少 。 总 之 ，SLA 会 根据 用 户 同 ISP 预定 的 条 款 确定 
网 络 连接 的 责任 归属 (如 果 责 任 属 于 用 户 ， 则 连接 故障 将 不 会 体现 在 计 费 中 ; 如 果 责 任 属于 
ISP， 计 费时 会 连同 故障 一 同 计算 )。 

总 结 : 

















虽然 匀速 流量 计 费 简单 易 行 ， 但 是 提供 商 和 用 户 可 能 需要 保存 例如 服务 中 断 等 情况 的 
详细 记录 。 





6.6 基于 应 用 的 服务 审计 


基于 应 用 计 费 通常 包括 两 种 方法 : 

。 根据 连接 计 费 

。 根据 流量 计 费 

根据 连接 计 费 的 概念 源 自 早期 的 电话 系统 。 在 电话 系统 中 ， 用 户 需要 支付 每 个 长 途 电话 的 
费用 。 当 商业 计算 机 网 络 出 现时 ， 提 供 商 会 对 用 户 创建 的 每 条 虚 电路 收费 。 因 此 ， 用 户 每 发 送 一 
封 电子 邮件 都 要 缴费 ， 因 为 邮件 系统 会 创建 一 条 用 于 消息 传输 的 虚 电路 。 

然而 ， 由 于 修改 计算 机 软件 能 使 同一 条 连接 完成 多 个 数据 传输 ， 因 此 根据 连接 计 费 可 能 达 
不 到 预期 的 结果 。 例 如 ， 在 基于 连接 的 方案 中 ， 为 把 费用 降 到 最 低 ， 可 以 将 邮件 系统 配置 成 批量 
传输 。 也 就 是 说 ， 邮 件 系统 创建 一 条 虚 电路 ， 然 后 通过 该 连接 实现 多 个 邮件 消息 的 双向 传输 。 为 
了 解决 上 述 优化 方案 的 计 费 问题 ， 早 期 网 络 根据 连接 的 持续 时 间或 通过 该 连接 传输 的 数据 包 总 
量 计 费 。 

渐渐 地 ， 根 据 连 接 的 计 费 方式 不 再 受到 关注 ， 基 于 应 用 服务 计 费 的 多 数 ISP 将 流量 (volume 
of traffic) 定义 为 网 络 应 用 的 主要 度量 标准 。 也 就 是 说 ，ISP 会 测量 用 户 在 一 定时 间 内 发 送 和 接 
收 的 数据 总 量 ， 并 据 此 计算 用 户 需 要 支付 的 费用 。 

综 上 所 述 ， 基 于 应 用 的 服务 审计 比 匀速 流量 的 服务 审计 更 加 复杂 。 如 果 要 依据 连接 收费 ， 
ISP 必须 监视 每 个 数据 包 的 传输 ， 并 检测 新 连接 的 建立 〈 随 后 检测 连接 的 终止 ) 。 如 果 要 依据 流 
量 收费 ，ISP 则 必须 记录 每 个 用 户 传输 的 数据 包 总 数 ， 通 常 还 要 区 分 发 送 和 接收 的 数据 包 。 如 果 
SLA 规定 仅 对 用 户 流量 计 费 而 不 对 网 络 控制 流量 计 费 〈 例 如 ， 通 过 路 由 协议 发 送 的 更 新 信息 ) ， 
审计 过 程 还 会 更 加 复杂 。 


6.7 分 层 服务 
ISP 经 常 采 用 一 种 服务 分 层 (tiered) 模型 来 简化 SLA 协定 。 在 分 层 模型 中 ，ISP 列 出 了 可 
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供用 户 选择 的 选项 集合 。 例 如 ， 图 6-1 列 出 了 一 个 分 层 服务 集合 〈 在 实践 中 ， 分 层 服 务 列表 还 会 
包含 价格 ) 。 | 
连接 类 型 最 大 下 载 流 量 
拨号 


DSL ( 慢 速 ) 
DSL (快速 》 
Tl 线路 





图 6-1 ISP 提供 的 分 层 服务 列表 。 每 个 用 户 可 从 列表 中 选择 一 个 服务 级 别 ， 
而 无 须 针 对 SLA 中 的 个 别 参数 进行 协商 


6.8 超越 限额 和 惩罚 


如 果 输 入 流量 超过 了 SLA 中 规定 的 服务 等 级 该 如 何 处 理 ?ISP 可 能 遵循 的 方式 包括 以 下 
两 种 : 

o 人 允许 客户 超额 ， 但 要 征收 罚金 。 

。 设 定 资 源 限 制 ， 拒 绝 超额 流量 。 


6.9 征收 罚金 


处 理 超额 流量 最 简单 的 方式 是 允许 客户 超额 ,但 是 征收 更 高 的 费用 。 也 就 是 说 ，ISP 将 分 层 
服务 视 为 收费 结构 ， 而 非 可 供用 户 选 择 的 服务 集合 。ISP 会 测量 用 户 每 月 的 数据 传输 总 量 ， 并 根 
据 分 层 列表 确定 客户 需要 缴纳 的 费用 。 

当然 ， 按 照 服务 等 级 计 费 的 ISP 必须 要 有 足够 的 容量 来 处 理 预 期 之 外 的 容量 增长 。 下 一 量 会 
重点 讨论 容量 规划 并 解释 网 络 管理 员 如 何 预测 流量 增长 。 


6.10 流量 策略 和 严格 执行 限额 


从 网 络 管理 员 的 角度 来 看 ， 严 格 限制 流量 超额 意味 着 额外 增加 一 个 数据 包 的 处 理 过 程 。 这 
个 过 程 称 为 流量 策略 (traffic policing) ， 用 来 限制 流量 的 装置 称 为 流量 监视 器 (traffic policer) 。 
流量 监视 器 会 检查 输入 流量 ， 并 拒绝 (IH) 超过 规定 流量 的 数据 包 。 

从 有 还 辑 上 说 ， 每 个 用 户 连接 都 需要 一 个 流量 监视 句 。 实 际 上 ， 流 量 监视 融 可 以 作为 一 个 独立 
的 装置 使 用 ， 或 者 将 它 戏 入 到 路 由 器 中 使 用 (这 更 为 普遍 ) 。 无 论 在 哪 种 情况 下 ， 网 络 管理 员 和 都 
要 根据 SLA 中 提供 的 参数 对 监视 名 进行 配置 。 

总 结 : 





流量 监视 器 是 一 种 可 配置 装置 ， 用 于 限制 从 特定 源 地 址 发 送 的 数据 包 的 数量 。 





人 们 通常 认为 流量 监视 器 应 该 不 断 接收 数据 包 ， 直 到 数据 包 总 数 达 到 限额 的 时 候 才 将 后 续 
数据 包 丢 弃 。 虽 然 这 种 方案 能 够 有 效 限制 总 的 数据 流量 , 但 是 本 章 下 一 节 将 会 介绍 一 种 限制 流 
量 速率 的 改进 策略 。 


6.11 限制 流量 速率 的 技术 
正如 前 文 所 述 ， 一 些 SLA 规定 了 用 户 能 够 发 送 或 接收 数据 的 最 大 传输 速率 。 网 络 管理 员 可 
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以 采用 以 下 多 种 技术 限制 流量 速率 ， 

© 低 容量 访问 连接 。 

o 前 端 限 速 调制 解 调 器 。 

o 限 速 流量 监视 苦 。 

低 容 量 访问 连接 : 这 是 限制 流量 速率 最 简单 的 机 制 ， 是 指 在 用 户 同 ISP 之 间 建 立 一 条 低 容 量 
的 物理 连接 。 例 如 ，SLA 中 定义 Tl 线路 的 最 大 数据 传输 率 接 近 1. Smbps， 因 此 ，ISP 可 以 规定 
它 同 客户 之 间 的 连接 是 一 条 达到 Tl 速度 的 数据 电路 。 | 

前 端 限 速 调制 解 调 器 : 调制 解 调 器 是 一 种 用 在 数字 用 户 线 路 (Digital Subscriber Line, DSL) 
和 线 绕 调 制 解 调 器 (cable modem) 中 的 技术 。 无 论 在 村 种 情况 下 ， 前 端 调制 解 调 器 〈 即 设置 在 
提供 商 一 端的 调制 解 调 器 ) 中 包含 的 配置 参数 都 可 以 控制 最 大 数据 传输 率 。 因 此 ， 当 同 用 户 签 
订 SLA 时 ， 提 供 商 规定 的 最 大 数据 传输 速率 可 以 与 调制 解 调 器 的 某 一 项 设置 相同 。 管 理 员 只 需 
根据 规定 的 条 款 对 调制 解 调 器 进行 配置 ， 然 后 调制 解 调 器 就 可 以 自动 限制 流速 。 

当然 ，ISP 还 可 以 将 流速 限制 视 为 一 种 增加 额外 收入 的 潜在 资源 。 网 络 管理 员 能 够 监视 每 个 
前 端 调制 解 调 器 并 检查 用 户 是 否 达 到 速率 极限 。 当 流速 达到 极限 时 ，ISP 可 以 咨询 用 户 是 否 愿 意 
缴纳 更 多 费用 来 提高 数据 传输 速率 。 

限 速 流量 监视 器 : 当 数 据 访问 技术 达到 的 速率 比 SLA 中 人 允许 的 数据 传输 速率 更 快 时 ， 就 需 
要 用 到 第 三 种 流量 限制 机 制 进行 处 理 。 在 这 种 情况 下 ， 网 络 管理 员 必 须 使 用 流量 监视 器 来 限制 
”流速 。 不 像 有 些 调制 解 调 器 需要 在 数据 发 送 给 ISP 之 前 进行 流速 协商 ， 流 量 监视 器 能 够 处 理 已 经 
ANA ISP 的 数据 包 。 因 此 ， 为 限制 数据 传输 速率 ， 流 量 监视 器 只 能 丢弃 数据 包 ， 直 到 数据 传输 速 
率 达 到 预期 的 水 平 为 止 。 

然而 ， 配 置 流量 监视 器 上 比 配 置 限 速 调制 解 调 器 更 加 困难 ， 原 因 在 于 监视 顺 使 用 两 个 参数 : 最 
大 数据 传输 速率 和 速率 的 持续 时 间 。 . 

之 所 以 使 用 上 述 两 个 配置 参数 ， 是 因为 数据 包 具 有 突 发 传输 的 倾向 。 在 突 发 传输 过 程 中 ， 数 
据 包 一 个 接 一 个 连续 到 达 ， 这 样 就 造成 很 高 的 数据 传输 速率 。 如 果 突 发 传输 过 程 发 生 过 快 ， 那 么 
对 于 每 次 突 发 传输 ， 监 视 絮 都 会 丢弃 一 个 其 至 更 多 数据 包 。 所 以 ， 监 视 侨 必须 将 突 发 传输 中 的 数 
据 包 总 数 均 匀 分 配 到 更 长 的 时 间 里 。 因 此 ， 管 理 员 需要 设 定 持续 时 间 和 最 大 数据 传输 速率 。 

要 点 : 











管理 员 可 以 使 用 低 容 量 访问 技术 、 前 端 限 速 调制 解 调 器 或 者 限 速 流量 监视 器 控制 数据 | 
传输 率 。 要 配置 流量 监视 器 ， 管 理 员 需要 对 持续 时 间 和 最 大 数据 传输 速率 进行 设 定 。 








6. 12 ”优先 级 各 绝对 保证 


虽然 ISP 热衷 于 对 用 户 发 送 数据 的 速率 进行 限制 ， 但 是 用 户 往往 关注 相反 的 内 容 ， 即 最 低 服 
务 保证 。 因 此 ，SLA 中 会 包含 保证 服务 功能 性 的 内 容 ， 尤 其 是 对 Internet 带宽 的 保证 。 管 理 员 可 
以 采用 以 下 两 种 方式 满足 用 户 需 求 : 

o 绝对 珊 宽 保证 

© 优先 级 形式 的 相对 保证 

前 一 种 方式 相对 困难 并 日 开销 巨大 ， 因 此 ISP 倾向 于 使 用 后 一 种 方式 。 


6.13 绝对 带宽 保证 和 多 协议 标记 交换 
要 保证 用 户 的 数据 传输 率 为 一 个 定 值 ，ISP 使 用 的 网 络 元 素 必 须 能 够 允许 管理 员 根据 特定 流 
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量 进 行 参 数 配置 。 通 常 ， 这 种 技术 采用 面向 连接 方式 (connection- oriented approach), SAh 
通过 一 个 或 多 个 网 络 元 素 ， 从 用 户 的 入 口 点 到 Internet 之 间 指 定 一 条 连接 。 路 径 上 的 每 个 网 络 元 
素 都 需要 根据 这 条 连接 进行 配置 。 

当前 ， 最 广泛 应 用 的 提供 绝对 市 宽 保 证 的 技术 称 为 多 协议 标记 交换 〈JMulti- Protocol Label 
Switching, MPLS), MPLS 允许 管理 员 在 给 定 的 用 户 网 络 同 ISP 网 络 之 间 进 行 流量 配置 ， 并 指定 
最 小 市 宽 。 


6. 14 相对 带宽 保证 和 优先 级 


要 提供 相对 带宽 保证 ， 网 络 管理 员 采 用 的 机 制 称 为 流量 调度 器 (traffic scheduler) 。 流 量 调 
度 器 能 够 接收 从 多 个 数据 源 发 来 的 数据 包 ， 并 根据 优先 级 决定 下 一 个 要 接收 的 数据 包 ， 同 时 将 
待 发 送 的 数据 包 通 过 单 链 路 进行 传输 。 

网 络 管理 员 通 过 指定 优先 级 的 方式 来 配置 流量 调度 器 。 例 如 ， 为 四 个 用 户 提供 服务 的 流量 
调度 器 会 根据 用 户 缴纳 的 费用 来 分 配 不 同 的 优先 级 。 图 6-2 给 出 了 一 种 可 能 的 分 配方 案 。 

上 图 中 的 分 配方 案 看 上 去 过 于 绝对 一 一 如 
果 对 外 链 路 的 速率 为 100mbps， 则 用 户 1 将 精 
确 获 得 20% 的 份额 ， 即 20mbps。 然 而 ， 大 多 数 
流量 调度 器 会 依 比例 划分 当前 可 用 带宽 。 因 此 ， 
如 果 某 些 用 户 在 指定 时 间 内 没有 发 送 数据 包 ， 
那么 其 他 用 户 会 根据 份额 划分 整个 带宽 。 在 图 
6-2 中 ， 如 果 用 户 3 暂时 停止 发 送 数据 包 , 那 图 62 相对 带宽 的 分 配方 案 ， 每 个 用 户 
么 其 他 用 户 获得 的 带宽 将 达到 原来 的 二 倍 。 根据 一 定 比例 共 至 带 沉 


6. 15 优先 级 和 流量 类 型 


流量 调度 秀 同 样 可 以 根据 传输 类 型 分 配 优先 级 。 对 于 具有 实时 流量 应 用 的 网 络 来 说 ， 优 先 
级 格外 重要 ， 原 因 在 于 为 实时 流量 分 配 优先 级 能 够 避免 传输 延迟 。 例 如 ， 用 户 可 以 规定 语音 传输 
(BP VoIP) 的 优先 级 必须 比 电子 邮件 或 网 页 浏览 的 优先 级 更 高 (企业 通常 会 在 内 部 设 定语 音 传 
输 的 优先 级 ) 。 


6. 16 ”对 等 协定 和 审计 


当 两 个 ISP 关系 对 等 时 ， 二 者 签订 的 SLA 通常 会 根据 传输 目的 地 址 规定 收费 细节 。 例 如 ， 
大 型 ISP 和 小 型 ISP 之 间 的 SLA 可 能 会 规定 ， 如 果 在 给 定 月 份 中 的 双 问 传输 流量 相同 ， 每 个 ISP 
只 需 支 付 该 连接 费用 的 一 半 ( 即 不 存在 费用 交换 )。 但 是 如 果 其 中 一 个 方向 的 传输 量 比 男 一 个 方 
向 的 传输 量 多 出 20% 以 上 ， 获 得 较 多 流量 的 ISP 必须 支付 N 美元 的 使 用 费 。 在 另 一 种 方案 中 ， 
对 等 协定 的 SLA 会 规定 依据 目的 地 址 为 流量 计 费 。 例 如 ，SLA 的 各 方 都 会 规定 通过 性 流量 
(transit traffic) 费用 《从 一 个 ISP 到 为 一 个 ISP 的 流量 ) 和 终止 性 流量 (terminated traffic) 费用 
(目的 地 址 为 ISP 用 户 的 流量 )。 

签署 SLA 的 最 初 目的 是 为 了 获取 经 济 利益 。 将 一 个 输入 数据 包 在 内 部 转发 给 用 户 会 比 将 这 
个 数据 包 通 过 对 等 协议 转发 给 另 一 个 ISP 的 用 户 花 费 更 少 的 开销 。 更 重要 的 是 ， 即 使 开销 相同 ， 
收费 的 不 同 也 是 ISP 的 经 济 动力 : 增加 通过 性 流量 收费 会 降低 通过 性 流量 并 为 用 户 流量 提供 更 多 
可 用 带宽 。 因 此 ， 减少 通 过 性 流量 能 够 吸引 更 多 的 用 户 ， 因 为 用 户 可 以 得 到 更 好 的 服务 。 

无 论 动 机 如 何 ， 审 计 必 须 支 持 SLA 中 制订 的 方案 。 因 此 ， 网 络 管理 员 需 要 记录 每 个 月 输入 
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和 输出 的 数据 包 ， 或 者 分 别 记 录 通 过 性 流量 和 终止 性 流量 的 输入 数据 包 总 数 。 
6.17 BE 


FCAPS 规则 包含 审计 和 计 费 ， 但 是 并 没有 规定 精确 的 模型 。 审 计 对 于 任何 网 络 都 是 必要 的 ， 
而 计 费 主要 由 服务 提供 商 使 用 。 大 多 数 的 审计 和 计 费 都 是 从 服务 等 级 协定 (SLA) 衍生 而 来 。 

们 速 流量 审计 和 基于 应 用 的 审计 部 可 以 用 于 用 户 计 费 ， 计 算 流 量 是 评估 应 用 最 简单 的 一 种 
方式 。 分 层 服 务 要 求 管 理 员 追 踊 用户 使 用 的 流量 ， 如 果 流 量 超过 相应 等 级 ,管理 员 可 以 选择 丢弃 
后 续 数 据 包 ,或 者 据 此 疝 用 户 收取 更 高 等 级 的 服务 费用 。 

可 以 通过 访问 技术 《包括 限 速 调制 解 调 器 ) 或 独立 监视 占 限 制 流 量 速率 。 这 两 种 装置 在 使 
用 时 都 需要 进行 合理 的 配置 。 

要 提供 最 小 的 带宽 保证 ， 管 理 员 必须 使 用 面向 连接 的 技术 ,例如 MPLS， 同 时 还 要 对 传输 路 
径 上 的 每 个 网 络 元 素 进行 合理 的 配置 。 除 保证 绝对 带宽 之 外 ， 还 有 一 种 相对 带宽 保证 方法 ， 这 种 
方法 能 通过 配置 流量 调度 装置 按 比例 划分 有 效 带 宽 。 
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第 7 章 人 性 能 评估 和 优化 


7.1 简介 


本 书 的 前 三 章 已 经 对 FCAPS 模型 的 各 个 方面 进行 了 阐述 ， 本 章 将 介绍 网 络 管理 的 基本 背景 
并 对 网 络 管理 中 出 现 的 问题 给 出 定义 。 

本 章 将 从 网 络 性 能 评价 的 角度 继续 讨论 FCAPS 模型 。 而 与 第 6 章 关 注 审计 和 计 费 不 同 ， 本 
章 将 对 性 能 做 出 更 广义 的 探讨 。 特 别 的， 本 章 还 将 对 测量 方法 如 何 用 于 容量 评估 和 规划 等 重要 
问题 做 出 更 加 细致 的 说 明 。 


7.2 性 能 的 不 同方 面 


性 能 中 有 三 个 方面 同 网 络 管理 员 有 关 ， 前 两 个 方面 属于 性 能 评估 ， 第 三 个 方面 属于 性 能 优 
化 。 具 体 可 表述 如 下 : 

o 需要 评测 哪些 指标 。 

© 如 何 得 到 评测 结果 。 

© 如 何 对 评测 结果 进行 分 析 处 理 。 

上 述 三 个 方面 都 非常 重要 ， 而 本 章 的 讨论 则 强调 对 概念 的 理解 ， 后 续 几 章 将 介绍 用 于 获取 
评测 结果 的 SNMP 技术 。 


7.3 可 测 指标 


从 广义 上 讲 ， 网 络 管理 员 可 以 选择 下 述 任意 一 个 实体 进行 评测 . 

。 单独 链 路 。 

© 网 络 元 素 。 

© 网 络 服务 。 

© 应 用 程序 。 

单独 链 路 : 网 络 管理 员 能 够 测量 某 条 链 路 中 的 流量 并 计算 该 时 间 段 内 的 链 路 利用 率 。 第 5 章 
详细 讨论 了 对 链 路 的 监控 以 检测 异常 行为 的 发 生 ， 而 链 路 负载 同样 能 够 用 于 某 些 形式 的 容量 规 
RHS, 

网 络 元 素 : 网 络 元 素 (例如 交换 机 或 路 由 器 等 ) 的 性 能 通常 易于 评测 ， 因 为 即使 很 基本 的 
网 络 元 素 都 能 提供 关于 数据 包 处 理 的 统计 结果 ， 而 在 更 高 级 的 设备 内 部 则 包含 更 加 复杂 的 性 能 
监控 机 制 〈 该 机 制 由 供应 商 提 供 ) 。 例 如 ， 一 些 网 络 元 素 会 设置 计数 器 ， 用 于 测量 通信 端口 之 间 
的 数据 包 总 量 。 

网 络 服务 : 企业 和 网 络 提供 商都 需要 对 基本 网 络 服务 (network service) 进行 评测 ， 例 如 域 
HAW, VPN 以 及 认证 服务 等 。 和 应 用 程序 的 评测 相似 ， 网 络 提供 商会 从 用 户 的 视角 重点 关注 
网 络 服 务 的 性 能 表现 。 

应 用 程序 : 对 应 用 程序 的 评测 主要 着 眼 于 企业 网 络 。 企 业 管 理 员 会 同时 为 内 部 用 户 和 外 部 


O 虽然 链 路 性 能 原则 上 同 网 络 元 素性 能 无 关 ， 但 链 路 性 能 的 评估 结果 通常 可 以 从 附加 在 链 路 上 的 网 络 元 素 中 
获取 。 | 
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用 户 评估 应 用 程序 的 性 能 。 因 此 ， 管 理 员 不 但 需要 评测 数据 库 针 对 内 部 员工 请 求 的 响应 时 间 ， 还 
需要 评测 网 络 服务 器 针对 外 部 请 求 的 响应 时 间 。 


7.4 网 络 性 能 的 评测 


任何 一 个 单独 的 指标 都 无 法 准确 衡量 网 络 的 性 能 ， 因 此 ， 网 络 管理 员 通 常 应 用 一 组 相关 测 
量 标 准 对 网 络 性 能 进行 评价 。 管 用 的 评测 指标 包括 : 

© 网 络 延迟 

efit a 

。 EUF 

e F} (jitter) 

on] HE 

网 络 延 时 (latency) EA Ee tE PPE RAT ER, RAR (ms) 
作为 单位 。 知 吐 量 (throughput) 是 指 网 络 中 的 数据 传输 率 ， 采 用 单位 时 间 内 传输 的 比特 作为 单 
{ii (Pi, MB/s 或 者 GB/s) 。 和 去 包 率 (packet loss) 用 于 统计 数据 包 在 网 络 中 被 丢弃 的 比例 。 
对 于 一 个 运行 正常 的 网 络 ， 数 据 包 丢失 通常 由 网 络 拥塞 导致 ， 因 此 ， 丢 包 率 能 够 揭示 该 网 络 是 否 
Ro, Hap (jitter) 是 评测 网 络 延迟 的 另 一 个 参数 ， 它 的 重要 性 仅仅 体现 在 实时 应 用 中 〈 例 如 
VoIP) 。 由 于 精确 的 实时 播放 系统 需要 平稳 的 数据 流 ， 因 此 ， 在 任何 一 个 支持 实时 音频 或 视频 的 
网 络 中 ， 拌 动 都 要 受到 格外 关注 。 最 后 ， 对 于 依靠 网 络 进行 的 商业 活动 (例如 ， 服 务 提供 商 
等 )， 可 用 性 (availability) 是 一 个 至 关 重 要 的 因素 ， 它 能 够 衡量 网 络 持续 运作 的 时 间 以 及 故障 
恢复 的 时 间 。 


7.5 应 用 程序 和 端点 敏感 度 


一 个 网 络 何 时 执行 得 比较 好 ? 人 们 该 如 何 区 分 时 越 、 优 秀 、 疹 通 或 者 不 良 这 些 性 能 等 级 ”有 
些 网 络 管理 员 认 为 仅 攒 数据 和 统计 结果 无 法 给 出 上 述 问 题 的 答案 。 相 反 ， 他 们 和 采用 用 户 反馈 作 
为 性 能 评估 标准 ， 即 没有 受到 用 户 投诉 的 网 络 就 是 好 的 网 络 〈 例 如 ， 没 有 收 到 故障 报告 等 ) 。 

虽然 人 们 和 希望 能 给 网 络 质量 下 一 个 更 精确 的 定义 ， 但 是 ， 根 本 无 法 给 出 网 络 性 能 的 简单 评 
价 。 EKE, 一 个 上 行 Cup) 网络 和 下 行 (down) 网 络 之 间 的 界限 都 无 法 给 出 精确 的 定义 。 由 
于 不 同 应 用 程序 对 不 同 环境 的 敏感 度 不 同 ,一 组 给 定 端点 的 性 能 评测 结果 可 能 和 其 他 端点 的 结 
果 大 相 径 庭 ， 这 也 是 性 能 不 确定 的 原因 。 a 

为 了 进一步 理解 应 用 程序 敏感 度 ， 假 定 在 同一 个 网 络 中 同时 运行 远程 登录 (remote login) 、 
语音 传输 (voice) 和 文件 传输 (file transfer) 三 个 应 用 程序 。 如 果 该 网 络 表 现 出 高 耕 吐 量 和 高 
延迟 ， 则 它 适合 文件 传输 ， 而 不 适合 远程 登录 。 如 果 该 网 络 表 现 出 低 延 人 运 和 高 拌 动 ， 则 它 适合 远 
程 登录 ， 而 不 能 用 于 语音 传输 。 最 后 ， 如 果 该 网 络 表 现 出 低 延 迟 、 低 抖动 和 低 吞 吐 量 ， 那 么 ， 它 
适合 远程 登录 以 及 语音 传输 ， 却 不 适合 文件 传输 。 

为 了 理解 端点 敏感 度 ， 可 以 观察 依赖 于 网 络 路 径 的 数据 延迟 和 吞吐 量 。 由 于 端点 (a,b) 之 
闻 的 路 径 可 能 同 另 一 对 端点 〈c, d) 之 间 的 路 径 完 全 不 同 ， 因 此 路 径 上 的 设备 可 能 不 同 ， 某 条 路 
径 的 长 度 可 能 更 长 ， 或 者 茶 条 路 径 上 可 能 产生 更 多 的 拥塞 。 也 正 是 由 于 路 径 不 同 ， 因 此 阑 述 平均 
网 络 行为 通常 是 没有 意义 的 。 


名” 丢 包 率 同 样 能 够 揭示 无 线 网 络 中 是 否 存在 干扰 等 问题 。 
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RA: - 


不 同 应 用 程序 对 不 同 网 络 特性 的 敏感 度 不 同 ， 根 据 应 用 程序 测 得 的 网 络 性 能 取决 于 数 


据 在 网 络 中 的 具体 传输 路 径 。 因 此 ， 网 络 管理 员 无 法 给 出 一 个 适用 于 所 有 应 用 程序 或 
所 有 端点 的 网 络 性 能 评估 标准 。 





7.6 降级 服务 、 流 量 差异 和 拥塞 


为 了 衡量 网 络 性 能 ， 网 络 管理 员 会 使 用 降级 服务 (degraded service) 这 个 术语 来 描述 一 种 网 
络 状态 。 在 降级 服务 状态 中 ,延迟 、 吞 吐 量 、 丢 包 率 以 及 抖动 等 值 都 比 预期 的 原始 标准 更 差 。 肝 
致 降级 服务 的 原因 可 能 是 系统 故障 〈 例 如， 硬件 工作 异常 致使 数据 包 丢 失 ) ， 也 可 能 是 性 能 问 
题 ， 例 如 ， 未 优化 的 路 由 或 者 路 由 颠 壬 〈 路 由 颠 艇 是 指 路 由 在 两 条 路 径 之 间 频 繁 切换 ) 。 

然而 ， 在 大 多 数 网 络 中 ， 导 致 降级 服务 产生 的 最 主要 原因 是 拥塞 ， 即 数据 包 到 达 网 络 的 速度 
大 于 离开 网 络 的 速度 。 当 给 定 链 路 达到 流量 饱和 状态 时 ， 通 常会 发 生 拥塞 (例如 ， 如 果 一 台 第 
二 层 交换 机 连接 的 两 台 计 算 机 都 以 1Gbps 的 速度 向 一 个 速度 同 为 1Gbps 的 端口 发 送 数 据 ) 。 

为 处 理 流量 差异 ， 交 换 机 和 路 由 器 等 网 络 元 素 都 包含 一 个 能 够 临时 应 对 突 发 数据 传输 的 数 
据 包 队列 缓冲 区 。 然 而 ， 如 果 高 速 突 发 数据 流 持 续 时 间 长 ， 直 至 该 缓冲 区 被 填 满 后 ， 网 络 将 会 丢 
弃 后 续 到 达 的 数据 包 。 因 此 ， 拥 赛会 增 大 延迟 ， 增 加 丢 包 率 ， 并 且 降 低 网 络 否 吐 量 。 

观点 总 结 : 


在 大 多 数 网 络 中 ， 拥 塞 是 导致 性 能 下 降 的 主要 原因 。 


7.7 拥塞、 延迟 和 利用 率 


本 书 上 一 节 中 提 到 ， 当 链 路 达到 饱和 状态 时 会 产生 拥塞 。 而 拥塞 同性 能 下 降 之 间 的 关系 是 
非常 重要 的 ， 因 为 它 能 够 允许 网 络 管理 员 根 据 一 个 易于 测量 的 量 ( 即 链 路 的 利用 率 ) 来 预测 网 
络 性 能 。 

利用 率 是 指 当 前 网 络 传输 正在 使 用 的 基本 硬件 容量 的 百分比 ， 其 值 在 0 ~1 之 间 。 利 用 率 的 
增加 会 导致 拥塞 的 产生 ， 拥 塞 又 将 加 大 数据 包 的 传输 延迟 。 通 过 近似 计算 ， 可 以 根据 式 (7. 1) 得 
到 有 效 延 迟 的 估计 值 ; 

D, 
“T-U 

其 中 , DRRARHEIR, URRAM, D RAIA ETT BN BY PER, BIER ALE 
何 数据 包 待 发 送 时 硬件 的 时 间 需 求 。 

虽然 D 只 是 一 阶 近 似 结果 ,但 是 式 (7.1) 仍然 能 够 帮助 我 们 理解 拥塞 和 延迟 之 间 的 天 系 : 
当 利 用 率 接近 100% 的 时 候 ， 拥 塞 使 得 有 效 延 迟 趋 向 无 穷 大 。 这 就 足以 证 明 利 用 率 同 网 络 性 能 之 
间 的 关联 性 。 在 后 续 几 节 中 ,我 们 还 将 回顾 这 个 问题 并 探讨 利用 率 在 容量 规划 中 的 应 用 。 


7.8 本 地 测量 和 端 - 端 测量 


根据 测量 范围 的 不 同 ， 可 以 将 测量 方式 分 为 两 大 类 : 本 地 测量 〈local measurement) 和 端 - 
端 测量 (end-to-end measurement) 。 本 地 测量 用 于 评价 单一 网 络 资源 的 性 能 ， 例 如 ， 一 条 单 链 路 





D (7.1) 
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或 者 一 个 网 络 元 素 的 性 能 。 本 地 测量 简单 方便 ， 可 以 使 用 很 多 现 有 工具 完成 。 例 如 ， 现 有 一 些 工 
具 能 够 帮助 管理 员 测 量 链 路 上 的 时 间 延 迟 、 春 吐 量 、 丢 包 率 以 及 拥塞 等 参数 。 

然而 ， 本 地 测量 对 网 络 用 户 的 实用 价值 不 高 ， 因 为 大 多 数 用 户 并 不 关注 单一 网 络 资源 的 性 
能 ， 他 们 对 端 - 端 测 量 〈 例 如 ， 端 - HER FEE, URES) 更 感 兴趣 ， 即 用 户 会 关注 由 
终端 系统 的 应 用 程序 所 观察 到 的 网 络 行为 。 端 - 端 测 量 的 内 容 包括 在 终端 系统 运行 的 软件 性 能 ， 
以 及 数据 在 整个 网 络 中 的 传输 性 能 。 例 如 ， 对 一 个 网 站 进行 端 — 端 测量 同时 包括 对 服务 器 和 网 
络 的 测量 。 

由 于 本 地 测量 比 端 - 端 测量 更 易于 实现 ， 因 此 ， 在 理想 状态 下 ， 人 们 通常 希望 网 络 的 端 - 端 
性 能 可 以 根据 对 本 地 资源 的 测量 结果 计算 得 到 。 然 而 ， 两 者 之 间 的 关系 复杂 ， 即 使 在 所 有 网 络 元 
素 和 链 路 状态 都 已 知 的 条 件 下 仍然 无 法 根据 本 地 网 络 性 能 来 推导 端 - 端 网 络 性 能 。 例 如 ， 即 使 
每 条 链 路 的 丢 包 率 已 知 ， 也 难以 计算 整体 网 络 的 丢 包 率 。 


总 结 : 





即使 本 地 测量 简单 易 行 ， 然 而 测量 结果 无 法 用 于 推导 端 - 端 网 络 性 能 。 





7.9 被动 观察 和 主动 探测 
网 络 性 能 的 测量 可 以 通过 以 下 两 种 方式 实现 : 


© 被 动 观察 

。 主动 探测 

被 动 观察 (passive observation) 是 指 获取 测量 结 打 而 不 影响 网 络 或 流量 的 非 人 侵 机 制 。 一 个 
被 动 观 察 系统 能 在 网 络 真 实 人 负载 状态 下 获取 测量 结果 。 也 就 是 说 ， 被 动 观察 系统 能 够 在 数据 流 


经 网 络 时 测 得 网 络 性 能 。 

主动 探测 (active probing) 是 一 种 向 网 络 注入 测试 流量 并 对 该 流量 进行 测量 的 机 制 。 例 如 ， 
测试 生成 器 能 够 用 于 同时 创建 多 个 同步 TCP 连接 。 因 此 ， 主 动 探测 具有 侵入 性 ， 原 因 在 于 这 种 
测量 方式 会 引入 额外 流量 。 

一 般 地 ， 被 动 探测 用 于 本 地 测量 ， 而 主动 探测 用 于 端 - 端 测量 。 事 实 上 ， 为 了 更 精确 地 测量 
端 - 端 网 络 性 能 ， 人 们 常常 将 外 部 设备 作为 主动 探测 源 。 例 如 ， 为 测试 网 站 性 能 ， 主 动 探 测 装 置 
会 向 Internet 中 多 个 节点 发 送 请 求 并 评估 返回 信息 ”>。 当 然 ， 由 于 拙劣 的 性 能 往往 出 现在 测试 系 
统 和 Web 服务 器 之 间 的 路 径 中 ， 而 该 路 径 中 的 网 络 通常 由 ISP 管理 ， 因 此 拥有 并 运行 网 站 
的 企业 可 能 无 法 控制 主动 探测 的 状况 。 但 是 ,主动 探测 仍然 是 一 种 实际 评估 网 络 性 能 的 
方式 。 


主动 探测 能 够 评估 整体 网 络 路 径 和 应 用 程序 的 性 能 ， 因 此 ， 要 获得 端 - 端 网 络 性 能 的 


实际 测量 结果 ， 管 理 员 只 能 通过 主动 探测 来 实现 。 





7.10 瓶颈 和 未 来 规划 
网 络 管理 员 将 如 何 应 用 获得 的 测量 数据 ?本 书 曾 在 第 5 章 中 讨论 过 其 中 一 种 用 途 : HRA 


O ”很 多 企业 都 采用 主动 探测 方式 评 佑 网络 性 能 。 


|81| 
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常 检测 。 而 性 能 优化 则 需要 遵循 以 下 两 个 原则 : 

。 优 化 当前 网 络 性 能 

。 优 化 未 来 网 络 性 能 

1) 优化 当前 网 络 性 能 : 管理 员 应 用 现 有 硬件 资源 实现 网 络 性 能 的 最 大 化 。 为 达到 这 个 
目的 ， 就 需要 找到 系统 瓶颈 〈bottleneck) 。 瓶 颈 是 指 网 络 性 能 欠 佳 的 组 件 或 子 系统 ， 一 条 
饱和 的 链 路 或 达到 容量 的 路 由 右 都 可 能 构成 网 络 的 瓶颈 。 检 测 瓶 须 的 目的 在 于 找 出 影响 整 
体 性 能 的 链 路 或 网 络 元 素 ， 将 其 升级 以 提高 网 络 总 体 性 能 ” ， 或 者 避 开 瓶颈 选择 其 他 链 路 进 
行路 由 。 然 而 ， 本 书 将 在 下 一 节 中 介绍 ， 多 数 网 络 结构 复杂 ， 很 难 根据 单个 网 络 元 素来 判 
类 瓶颈 的 所 在 。 

2) 优化 未 来 网 络 性 能 : 迄今 为 止 ， 网 络 性 能 数据 最 重要 、 最 复杂 的 应 用 就 是 用 于 实施 未 来 
规划 。 网 络 管理 员 必须 预测 未 来 需求 ， 熟 悉 必 要 的 设备 ， 并 在 需求 出 现 之 前 及 时 添加 新 设备 。 然 
而 ， 实 施 未 来 规划 却 并 不 简单 ， 它 需要 细致 和 广泛 地 进行 数据 测量 。 


7.11 容量 规划 


容量 规划 (capacity planning) 是 指 网 络 管理 行为 同 评估 未 来 需求 息息相关 。 为 防止 大 型 网 
络 效 率 下 降 ， 就 需要 进行 复杂 的 规划 。 首 先 ， 管 理 员 会 测量 当前 网 络 流量 并 预测 未 来 流量 的 增长 
状况 。 管 理 员 需要 将 得 到 的 预测 结果 转化 为 网 络 资源 的 执行 效果 。 最 后 ， 管 理 员 将 提出 可 行 的 计 
划 ， 并 根据 网 络 性 能 、 可 靠 性 以 及 费用 成 本 最 终 选 定 合 适 的 规划 方案 。 

忆 结 : 


容量 规划 要 求 管理 员 评 估 资 源 的 规模 ， 以 达到 满足 预期 负载 、 提 升 性 能 等 级 、 提 升 系 


统 强 壮 性 和 可 靠 性 ， 并 限制 成 本 的 目的 。 





然而 ， 提 升 基础 网 络 性 能 的 方式 多 样 是 容量 规划 面临 的 主要 挑战 。 例 如 ， 管 理 员 可 以 做 到 : 
在 现 有 网 络 元 泰 的 基础 上 增加 端口 数量 ; 添加 新 的 网 络 元 素 ; 扩充 现 有 链 路 的 容量 或 添加 额外 
链 路 等 。 因 此 ， 管 理 员 必须 兼顾 多 种 选择 方案 。 


7.12 交换 机 容量 规划 


交换 机 容量 规划 同 其 他 容量 规划 任务 没有 本 质 的 区 别 ， 唯 一 的 不 同 点 在 于 连接 数目 以 及 每 个 连 
接 的 速度 。 大 多 数 情况 下 ， 每 条 连接 的 速度 都 是 预先 确定 的 。 确 定 的 因素 可 以 是 网 络 策略 〈 流 量 假 
定 ) ， 或 者 是 同 交换 机 相连 的 设备 。 例 如 ， 某 企业 可 以 采取 这 样 的 策略 ， 使 用 100Mbps 的 有 线 以 太 
网 连接 不 同 计算 机 节点 。 以 设备 为 例 ， 交 换 机 和 路 由 器 之 间 连 接 的 操作 速度 可 能 达到 1Gbps。 

为 规划 交换 机 容量 ， 管 理 员 需要 估计 连接 的 数目 N 以 及 每 个 连接 的 容量 。 大 多 数 现代 化 交 
换 机 采用 的 10/100/1000M 硬件 允许 每 个 端口 自动 选择 速度 ， 这 使 得 容量 规划 过 程 大 大 简化 。 因 
此 ， 管 理 员 只 需要 估计 端口 数目 入 的 值 即 可 。 而 缓慢 增长 率 则 使 规划 过 程 进一步 简化 ， 即 只 有 
当 新 的 用 户 或 新 的 网 络 元 素 加 入 网 络 时 ， 才 需要 额外 的 端口 。 

要 点 : 


在 估算 交换 机 容量 时 ， 由 于 管理 员 只 需要 估计 端口 数目 ， 并 且 端 口 需求 量 增长 缓慢 ， 





因此 估算 过 程 简单 。 


O 非 瓶 颈 装置 无 须 升 级 。 
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7.13 路 由 器 容量 规划 


路 由 器 容量 规划 比 交 换 机 容量 规划 更 加 复杂 ， 原 因 主 要 有 三 点 。 第 一 ， 路 由 器 能 够 提供 除 报 
文 转发 (如 DHCP) 以 外 的 其 他 服务 ， 因 此 管理 员 需 要 对 每 个 服务 都 进行 规划 。 第 二 ， 路 由 器 和 
网 络 之 间 每 条 连接 的 速度 都 可 能 产生 变化 ， 因 此 路 由 器 容量 规划 包含 了 对 每 条 连接 的 容量 规划 。 
第 三 ， 最 重要 的 是 ， 路 由 器 必须 依照 管理 员 的 配置 处 理 网 络 流量 。 综 合 这 三 点 原因 ， 要 规划 路 由 
器 容量 ,管理 员 必 须 规划 路 由 器 周边 系统 和 路 由 服务 的 容量 。 


总 结 : 


要 对 路 由 器 进行 容量 规划 ， 管 理 员 必须 正确 估计 周边 硬件 系统 的 参数 以 及 该 路 由 器 所 
提供 的 服务 。 





7.14 因特网 连接 容量 规划 


另 一 种 容量 规划 问题 关注 的 是 某 机 构 同 它 的 上 游 服务 提供 商 之 间 的 单 链 路 容量 。 以 企业 和 
ISP 之 间 的 链 路 为 例 ， 该 链 路 可 由 ISP 或 者 企业 管理 。 如 果 由 ISP 管理 链 路 ，ISP 将 监控 网 络 流 
量 并 根据 流量 的 增长 促使 企业 出 资 升级 链 路 速度 。 如 果 由 企业 管理 链 路 ,企业 将 监控 网 络 流量 
并 根据 流量 的 增长 判断 该 链 路 是 否 会 成 为 瓶颈 。 

从 理论 上 说 ， 链 路 容量 规划 过 程 简 单 ， 只 需 使 用 链 路 利用 率 这 个 便于 测量 的 参数 ， 与 延 返 、 
吞吐 量 、 丢 包 率 以 及 持 动 无 关 。 该 过 程 可 描述 为 : 计算 基础 链 路 容量 的 当前 使 用 率 ， 追 踪 链 路 的 
KH JLA) 利用 率 ， 当 利用 率 过 高 时 扩充 链 路 容量 。 | 

在 实践 中 ， 规 划 过 程 会 遇 到 两 个 难题 : 

© 如 何 测量 利用 率 ? 

o 何 时 提高 链 路 容量 ? 

要 理解 上 述 两 个 问题 ， 不 妨 回 忆 一 下 第 5 章 中 对 于 链 路 流量 变化 的 讨论 (例如 ， 夜 晚 和 周 
末 的 流量 较 其 他 时 间 大 大 降低 ) 。 流 量变 化 使 得 测量 难度 加 大 ， 因 为 只 有 当 流 量 同 外 部 事件 A 
如 ， 假 期 ) 协调 一 致 时 测量 结果 才 有 意义 。 流 量变 化 还 会 使 得 扩充 容量 的 难度 加 大 ， 因 为 管理 
员 必 须 选 定 一 条 目标 链 路 。 这 里 的 主要 问题 在 于 竺 包 率 ， 即 该 链 路 是 需要 确保 任何 时 候 都 不 丢 
失 数据 包 ， 还 是 要 以 较 低 的 开销 处 理 大 多 数 流 量 ， 而 允许 在 流量 高 峰 时 丢失 少量 数据 包 。 

要 点 : 





链 路 利用 率 随 时 间 变 化 ， 在 升级 链 路 时 ， 管 理 员 必 须 决 定 目 标 链 路 是 不 产生 数据 包 丢 





失 还 是 在 丢 包 率 和 降低 开销 之 闻 做 出 权衡 。 


7.15 峰值 测量 和 链 路 平均 流量 


如 何 测量 链 路 容量 ? 一 种 方法 是 将 一 个 星期 划分 成 多 个 时 间 间 隔 ， 然 后 测量 每 个 时 间 间 隅 
内 在 链 路 上 的 数据 传输 总 量 。 通 过 这 种 方式 能 够 计算 一 星期 内 链 路 的 最 大 利用 率 和 平均 利用 率 。 
这 样 ， 在 连续 多 个 星期 重复 测量 ， 就 可 以 依据 测量 结果 制订 容量 基准 。 

如 何 划分 时 间 间 隔 的 长 度 ? 选择 较 大 的 时 间 间 隔 能 够 减少 测量 次 数 ， 也 意味 着 管理 流量 对 
链 路 、 中 间 路 由 器 和 管理 系统 的 负载 影响 更 小 。 然 而 ， 选 择 较 小 的 时 间 间 陋 能 够 提高 测量 精度 。 
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例如 ， 如 果 时 间 间 隔 为 一 分 钟 ， 管 理 员 就 能 够 测量 突 发 数据 量 ， 如 果 时 间 间 隔 为 一 小 时 ， 就 能 减 
少 测 试 数据 量 ,， 但 只 能 测 得 一 小 时 内 的 平均 流量 。 

对 上 述 两 种 选择 进行 权衡 ， 时 间 间 隔 可 以 从 5 分 钟 、10 分 钟 或 15 分 钟 中 选择 一 种 ， 具 体 选 
择 标准 由 管理 员 对 流量 的 预期 来 确定 。 对 于 常用 网 络 系统 ， 如 果 流 量 预期 相对 平稳 ， 时 间 间 隔 为 
15 分 钟 是 比较 理想 的 选择 。 这 样 一 周 7 R, ER 24 小 时 ， 每 小 时 4 个 时 间 间 隔 ， 则 一 周 共 有 
672 个 时 间 间 隔 。 因 此 ， 一 周 内 仅 需 要 收集 672 个 测量 数据 ， 即 使 这 个 过 程 持续 一 年 ， 测 量 数据 
总 量 也 仅 为 34 944。 而 将 陈旧 数据 加 以 整合 即 可 进一步 缩减 数据 总 量 。 

前 面 曾 提 到 ， 测 量 结果 可 用 于 计算 峰值 利用 率 ， 准 确 地 说 ， 可 根据 流量 测试 结果 计算 15 分 
钟 内 的 链 路 利用 率 。 这 样 的 估计 结果 足以 用 于 容量 规划 ， 如 果 精 度 要 求 更 高 ， 通 过 缩短 间隔 时 间 
的 方式 就 可 实现 。 

M ote, 


Ju 一口。 


要 计算 链 路 的 峰值 利用 率 和 平均 利用 率 ， 管 理 员 需要 在 每 个 固定 时 间 间 隔 内 进行 流量 


统计 。15 分 钟 的 间隔 时 间 适 用 于 大 多 数 容量 规划 ， 而 更 小 的 时 间 间 隔 则 可 以 提高 测量 
精度 。 





然而 ， 上 述 方法 仅 能 计算 单 向 数据 传输 的 链 路 利用 率 〈 例 如 ， 从 Internet 到 企业 方向 ) 。 要 
获得 双 回 链 路 利用 率 ， 管 理 员 需要 同时 测量 反 向 流量 。 事 实 上 ， 在 一 般 情 况 下 ， 企 业 同 Internet 
之 间 的 数据 传输 是 非 对 称 的 ， 从 Internet 到 企业 方向 往往 具有 更 高 的 数据 流量 。 


7.16 峰值 利用 率 评 估 和 95% 原则 


当 管 理 员 获得 用 于 计算 几 周 内 双向 平均 利用 率 和 峰值 利用 率 的 统计 数据 之 后 ， 怎 样 根 据 这 
些 数据 确定 何 时 进行 容量 升级 ? 这 个 问题 没有 简单 的 答案 。 为 杜绝 数据 包 丢 失 ， 管 理 员 必须 追踪 
一 定时 间 内 最 大 利用 率 的 变化 状况 ， 并 在 峰值 利用 率 达 到 100% 前 及 时 升级 链 路 容量 。 | 

然而 ， 由 于 数据 包 的 突 发 传输 以 及 峰值 利用 率 的 短暂 性 ， 最 大 利用 率 的 测量 结果 可 能 并 不 
准确 。 例 如 ， 误 差 条 件 和 路 由 改变 等 事件 将 会 导致 非 正常 流量 尖峰 以 及 短 时 突 发 数据 流 的 产生 。 
很 多 网 站 认为 流量 尖峰 时 出 现 少量 数据 包 丢 失 是 可 以 接收 的 。 为 缓解 短 时 尖峰 的 影响 ， 管 理 员 
可 以 通过 统计 方式 修 匀 测 量 结果 以 避免 过 早 升 级 链 路 : 采用 流量 值 的 95% 来 计算 峰值 利用 率 。 
也 就 是 说 ， 每 隔 15 分 钟 测量 一 次 流量 ， 将 全 部 测量 结果 排序 (而 不 是 选择 一 个 间隔 作为 峰值 ) ， 
选择 其 中 利用 率 在 95% 以 上 的 数据 ， 据 此 计算 峰值 利用 率 的 近似 值 。 


总 结 . 


由 于 数据 传输 的 突 发 性 ， 采 用 峰值 利用 率 的 平稳 近似 值 ， 能 够 减弱 单个 时 间 间 隔 内 流 


量 过 高 的 影响 。 选 取 利用 率 为 95% 以 上 的 测量 结果 ， 并 计算 平均 值 ， 即 可 得 到 这 个 平 
稳 近 似 值 。 





7.17 平均 利用 率 和 峰值 利用 率 的 关系 


经 验 表 明 ， 对 于 主干 链 路 ,流量 随时 间 的 起 伏 相 对 平稳 。 该 结果 适用 于 将 大 型 机 构 同 Inter- 
net 上 其 他 组 织 相 连接 的 传输 链 路 。 如 果 给 定 链 路 上 出 现 相似 的 状况 并 且 无 需 精确 测量 ， 管 理 员 
可 以 简化 峰值 利用 率 的 计算 过 程 。 


B7F Er 化 


进一步 观察 以 进行 简化 ， BE AE Cl, RE RS) ee 
这 样 一 种 模式 ， 在 该 模式 中 ， 以 95% Te PRR ETIS ATT E 
比值 基本 固定 。 该 固定 比值 取决 于 接 入 链 路 的 机 构 规模 。 以 某 Internet £ FHR TA, 
该 比值 可 由 式 (7.2) 近似 得 到 : 
平均 峰值 利用 率 、| 13 (7.2) 
平均 链 路 利用 率 
7.18 管理 结果 和 50/80 规则 


峰值 -平均 利用 率 这 个 固定 比值 会 如 何 影 响 管理 员 ? 对 于 一 条 频 紧 使 用 的 网 络 连接 ， 管 理 
员 只 需要 测量 链 路 平均 利用 率 ， 然 后 根据 测量 结果 计算 峰值 利用 率 的 近似 值 并 得 出 结论 。 图 7-1 
列 出 的 是 平均 利用 率 的 一 些 实例 及 其 含义 。 


平均 利用 率 








峰值 利用 率 





链 路 未 充分 利用 





50% 65% 合适 的 操作 范围 
60% 78% 链 路 开始 充分 利用 
70% 91% 链 路 有 效 饱 和 

链 路 充分 饱和 


图 7-1 根据 不 同 平均 利用 率 计算 得 到 峰值 利用 率 并 给 出 相应 释义 。 
虽然 利用 率 上 限 为 190% ， 但 实际 峰值 需求 可 能 超过 现 有 容量 

从 图 7-1 可 见 ， 如 果 链 路 平均 利用 率 为 50% ， 它 在 峰值 的 容量 使 用 率 将 接近 2/3 ， 这 是 一 个 
比较 合理 的 应 用 等 级 ， 它 能 够 应 对 一 些 非 正 常 状 况 的 出 现 ， 例 如 ， 处 理 国家 紧急 事件 时 的 非 预期 
流量 负载 等 。 如 果 链 路 的 平均 利用 率 小 于 50% ， 并 且 没 有 使 用 额外 链 路 作为 容量 备份 ， 那 么 该 
链 路 未 得 到 充分 利用 。 然 而 ， 如 果 链 路 平均 利用 率 达 到 70% ， 则 在 流量 高 峰 时 仅 有 9 多 的 剩余 容 
量 可 用 。 因 此 ， 管理 员 能 够 追踪 平均 利用 率 随 时 间 的 变化 ， 并 根据 测量 结果 决定 何 时 升级 链 路 。 
特别 的 ， 如 果 平 均 利用 率 升 至 80% ， 管 理 员 即 可 算出 当前 峰值 利用 率 已 经 达到 100% 〈 即 链 路 饱 
和 )。 因 此 ， 流 量 测 量 的 目标 是 将 平均 容量 控制 在 50% ~ 80% 之 间 。 该 界限 就 是 众所周知 的 
50/8080 il : 






对 于 一 条 频繁 应 用 的 网 络 连接 来 说 ， 管 理 员 用 平均 利用 率 来 判定 何 时 进行 容量 升级 。 
如 果 平 均 利 用 率 低 于 50% ， 则 表明 该 链 路 未 得 到 充分 利用 ; 如 果 平 均 利 用 率 高 于 
80% ， 则 表明 在 高 峰 时 段 该 链 路 处 于 饱和 状态 。 





有 时 ， 测 量 结果 会 显示 给 定 的 网 络 连接 处 于 未 使 用 状态 。 特 别 的 ， 如 果 茶 企业 网 络 在 夜晚 和 
周末 对 外 关闭 ， 则 该 时 段 内 的 流量 几乎 为 0， 此 时 平均 利用 率 大 大 降低 ， 从 而 峰值 利用 率 和 平均 
利用 率 的 比值 变 大 。 为 处 理 这 种 状况 ， 管 理 员 只 需 测量 网 络 在 使 用 期 间 的 平均 利用 率 。 


7.19 复杂 拓扑 的 容量 规划 


大 型 网 络 的 容量 规划 比 单 个 网 络 元 素 或 单个 链 路 的 容量 规划 更 加 复杂 。 链 路 的 增加 、 路 由 
的 改变 ， 都 使 得 对 大 型 网 络 的 容量 规划 不 仅仅 需要 考虑 每 个 网 络 元 素 或 链 路 的 性 能 ， 而 是 要 兼 
顾 整 个 网 络 。 
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评估 各 何 对 包含 入 条 链 路 的 网 络 进 行 容量 升级 时 ， 管 理 员 需 要 考虑 网 络 的 整体 性 能 ， 


而 不 是 分 别提 升 N 条 链 路 的 性 能 。 





7.20 容量 规划 过 程 
大 型 网 络 的 容量 规划 包括 六 个 步骤 。 图 7-2 总 结 并 列 出 了 网 络 管理 团队 要 执行 的 规划 过 程 概 
要 o 本 章 后 几 节 将 对 每 一 步骤 进行 详细 说 明 o 


根据 网 络 当前 测量 结果 和 未 来 预测 结果 计算 预期 负载 的 估计 值 。 
将 预期 负载 转化 为 可 供 容量 规划 软件 处 理 的 模型 。 
使 用 负载 模型 和 网 络 资源 描述 来 计算 资源 利用 率 的 近似 值 ， 并 验证 计算 结果 。 


考虑 网 络 拓扑 和 路 由 可 能 产生 的 变化 ， 根 据 变化 结果 重新 计算 资源 利用 率 的 近似 值 。 
根据 资源 利用 率 的 近似 值 评估 网 络 元 素 和 链 路 的 性 能 需求 。 
根据 性 能 评估 结 采 给 出 容量 扩充 及 相应 成 本 的 建议 方案 。 


图 7-2 网 络 管理 团队 针对 复杂 网 络 的 容量 规划 总 流程 





7. 20.1 预测 未 来 负载 


要 预测 未 来 的 网 络 负载 ， 网 络 管理 员 舌 要 同时 评估 现 有 流量 模式 和 潜在 流量 模式 的 增长 。 
评 佑 商业 规模 稳定 时 的 流量 增长 最 为 容易 。 一 方面 ， 管 理 员 能 够 长 期 追踪 流量 ， 并 根据 过 去 的 增 
长 状况 预测 未 来 流量 的 增长 。 另 一 方面 ， 管 理 员 能 够 评 舍 新 用 户 产 生 的 流量 〈 包 括 内 部 用 户 和 
外 部 用 户 ) ， 并 计算 由 此 导致 的 额外 负载 。 

评估 潜在 流量 模式 比较 困难 ， 尤 其 对 商业 规模 快速 扩展 的 网 络 提供 商 更 是 如 此 ， 因 为 新 服 
务 产 生 的 负载 可 能 同 原 有 负载 不 同 ， 并 且 快 速成 为 主流 。 已 存在 的 服务 和 新 服务 都 会 成 为 ISP 的 
销售 目标 ， 因 此 ， 管 理 员 应 该 根据 评 佑 结果 计算 负载 的 增长 。 而 在 这 之 前 ， 管 理 员 必 须 把 服务 的 
营销 定义 转换 为 有 意义 的 网 络 负载 描述 。 特 别 的 ， 只 有 确定 了 数据 包 的 数量 、 类 型 和 目的 地 址 之 
后 ， 销 售 限额 才能 用 于 容量 规划 。 因 此 ， 当 营销 部 门 定义 并 出 售 一 项 服务 时 ， 网 络 管理 员 必 须 确 
定 网 络 中 由 A 点 发 送 至 B 点 的 新 的 额外 数据 包 的 数量 。 





对 于 支持 新 服务 的 网 络 ， 管 理 员 必须 估计 可 能 产生 的 数据 包 数 量 、 类 型 和 目的 地 址 ， 


此 时 ， 预 出 未 来 负载 非常 困难 。 





7.20.2 测量 现 有 资源 的 应 用 


本 章 曾 讨论 过 现 有 资源 的 测量 方式 。 我 们 不 难 发 现 ， 以 路 由 喜 为 例 ， 多 数 大 型 网 络 元 素 都 包 
含 了 应 用 程序 接口 《API) ， 该 接口 允许 管理 员 获 得 性 能 评 佑 结果。 我们 知道 链 路 流量 会 随时 间 
变化 ， 管 理 员 会 测量 茶 段 时 间 间 隅 内 的 流量 ， 并 利用 测量 结果 计算 链 路 的 平均 利用 率 和 峰值 利 
用 率 。 而 选择 流量 值 为 95% 以 上 的 数据 进行 计算 ， 即 可 得 出 峰值 利用 率 的 平稳 近似 值 。 最 后 ， 
我 们 还 得 知 ， 应 用 频繁 的 主 于 链 路 上 预期 负载 较为 平稳 ， 具 有 一 个 固定 的 峰值 -平均 利用 率 比 
值 。 当 测量 某 个 网 络 时 ， 管 理 员 必 须 测 量 所 有 网 络 元 素 和 全 部 链 路 。 
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7.20.3 基于 流量 矩阵 的 负载 模型 


资源 应 用 的 高 效 测量 依赖 于 精确 的 网 络 流量 模型 。 一 旦 确定 模型 ， 就 可 以 应 用 该 模型 计算 
基础 资源 对 网 络 的 影响 ， 并 测试 潜在 变化 对 网 络 的 影响 。 

流量 和 矩阵 (traffic matrix) 是 当前 对 网 络 负载 建 模 的 一 种 主导 技术 。 从 概念 上 说 ,流量 矩阵 
同 网 络 与 外 部 传输 源 或 结合 点 之 间 的 连接 相 一 致 。 也 就 是 说 ， 每 个 网 络 入 口 点 构成 矩阵 的 行 ， 每 
个 网 络 出 口 点 构成 矩阵 的 列 。 在 实践 中 ， 网 络 同 外 部 节点 的 大 部 分 连接 都 是 双向 的 ， 这 就 意味 着 
每 个 外 部 连接 都 同时 占据 流量 矩阵 的 一 行 和 一 列 。 如 果 了 是 一 个 流量 矩阵 ， 则 工 , 表 示 数 据 从 外 
部 连接 7 到 达 外 部 连接 站 的 速率 的 期 望 但 。 图 7-3 举例 说 明了 这 个 概念 。 

在 不 对 内 部 网 络 或 路 由 做 任何 假定 的 前 提 下 ,流量 矩阵 可 详细 描述 期 望 的 外 部 流量 负载 ， 
这 使 得 流量 算 阵 非常 适用 于 未 来 规划 。 因 此 ， 规 划 人 员 可 以 首先 构建 流量 矩阵 ， 并 运行 一 系列 模 
拟 过 程 来 比较 不 同 网 络 拓扑 和 路 由 架构 之 间 的 性 能 差异 。 运 行 不 同 模拟 过 程 也 无 需 对 年 阵 做 任 
何 改变 。 





图 7-3 流量 和 矩阵 的 概念 。 和 矩阵 中 每 一 项 存储 的 是 从 源 端 (入 口 ) 到 目的 端 〈 出 口 ) 的 
流量 速率 。 对 于 双向 网 络 连接 ， 第 i 行 和 第 i 列 对 应 相同 的 连接 


流量 矩阵 特别 适用 于 对 大 型 网 络 的 主干 链 路 建 模 ， 因 为 主干 链 路 能 获得 流量 汇聚 的 平均 结 


果 。 流 量 和 矩阵 对 连接 多 个 用 户 终端 的 网 络 建 模 则 比较 困难 ， 因 为 此 时 要 区 分 处 理 不 同 计算 机 的 
流量 。 因 此 ， 对 于 大 型 网 络 服务 提供 商 而 言 ,流量 矩 阵 的 每 个 输入 点 或 输出 点 都 代表 了 一 个 小 型 
ISP 或 对 等 网 络 提供 商 。 而 对 于 企业 ,流量 矩阵 能 够 对 联合 主干 网 络 建 模 ， 这 意味 着 每 个 输入 点 
或 输出 点 都 代表 了 一 个 外 部 Internet 连接 或 内 部 流量 资源 ， 例 如 办 公 组 。 

流量 矩阵 中 应 该 存放 哪些 但? 这 个 问题 随 着 流量 的 时 变 而 日 益 凸 显 。 流 量 矩 阵 中 是 该 存放 
每 对 外 部 连接 的 平均 流量 期 望 ， 还 是 峰值 流量， 抑或 是 多 个 数据 的 组 合 ” ERER R HRE 
了 解 流量 如 何 影 响 个 体 资 源 ， 但 是 个 体 资源 上 的 峰值 负载 不 可 能 总 在 相同 的 流量 状况 下 产生 。 
正如 前 面 所 述 ， 对 于 高 负载 的 主干 链 路 ， 平 均 利 用 率 和 峰值 利用 率 二 者 紧密 相关 。 在 其 他 情况 
下 ， 主 要 针对 最 差 状 态 实施 规划 一 一 在 可 能 产生 的 最 差 流 量 状 次 下 ， 管 理 员 需 要 保证 有 足够 资 
源 可 供 使 用 。 综 上 所 述 ， 流 量 和 矩阵 的 每 一 项 将 存储 峰值 负载 的 测量 结果 。 

然而 ， 由 于 流量 时 变 ， 不 同 外 部 链 路 之 间 峰 值 流量 出 现 的 时 间 可 能 不 同 。 因 此 ， 独 立 瞬 时 变 
量 的 概念 将 对 容量 规划 产生 影响 。 以 提供 家 用 和 商用 两 种 网 络 服务 的 ISP 为 例 ， 如 果 商 用 流量 在 
办 公 时 间 出 现 高 峰 ， 而 家 用 流量 在 晚间 或 周末 出 现 高 峰 ， 那 么 ISP 就 可 以 采用 同一 种 网 络 架构 应 
对 这 两 类 流量 。 然 而 ， 如 果 流 量 和 矩阵 没有 区 分 不 同 连接 之 间 蜂 值 流 量 出 现 的 时 间 ， 那 么 管理 员 对 
容量 规划 的 结果 将 是 实际 需求 量 的 两 倍 。 
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要 扩 : 


存储 峰值 流量 负载 的 流量 矩阵 中 如 果 没 有 列 出 皮 时 变量 ， 将 导致 容量 需求 的 估计 值 





偏 高 。 


管理 员 如 何 建立 一 个 包含 瞬时 变量 的 负载 模型 ? 这 里 给 出 两 种 可 能 的 方案 : 

e 使 用 多 个 流量 和 矩阵， 每 个 矩阵 对 应 一 个 时 间 片 。 

e 使 用 单个 流量 矩阵 ， 但 使 矩阵 的 每 一 项 都 对 应 网 络 在 繁忙 时 段 的 峰值 流 量 。 

要 使 用 多 个 流量 和 矩阵， 管理 员 需 要 将 时 间 划 分 成 不 同 的 单元 ， 每 个 单元 都 对 应 其 中 一 个 流量 矩 
阵 。 例 如 ， 对 于 本 节 前 边 提 到 的 ISP， 管 理 员 需 要 建立 一 个 对 应 商用 时 间 的 流量 矩阵 和 一 个 对 应 其 
他 时 间 的 矩阵 。 而 这 种 方式 最 主要 的 缺点 在 于 ， 管 理 员 必须 花费 一 定时 间 创 建 不 同 的 抢 阵 。 

如 果 管 理 员 能 够 方便 地 识别 峰值 需求 出 现 的 时 间 ， 那 么 采用 单个 流量 矩阵 是 一 种 理想 的 方 
式 。 例 如 ， 有 些 ISP 能 从 多 个 重 委 的 时 间 区 域内 识别 商用 时 间 内 的 峰值 需求 。 


7.20.4 ”流量 和 汇聚 


流量 矩阵 能 够 标识 从 每 个 人 口 点 到 每 个 出 口 点 的 峰值 流量 。 然 而 ， 当 管理 员 将 未 来 流量 的 
估计 值 加 和 流量 矩阵 时 ， 另 一 个 复杂 的 问题 出 现 了 : 管理 员 可 能 得 到 茶 个 流量 的 佑 计 值 ， 而 不 是 
所 有 从 人 口 点 到 出 口 点 的 流量 汇聚 。 鲍 如 ， 如 果 某 企业 计划 安装 一 个 新 的 应 用 程序 ， 管 理 员 需要 
预计 每 个 用 户 产生 的 流量 ， 并 组 合 预计 结果 得 到 流量 汇聚 。 同 样 的 ， 如 素菜 ISP 计划 出 售 一 项 新 
的 服务 ， 那 么 必须 将 新 服务 产生 的 流量 同 其 他 流量 汇聚 在 一 起 。 

汇聚 不 同 流量 估计 值 比较 困难 ， 其 原因 有 两 点 。 首 先 ， 在 大 多 数 情 况 下 ， 新 流量 的 目的 地 址 
是 未 知 的 。 例 如 ， 如 果 某 ISP 提供 一 项 用 于 数据 加 密 的 VPN 服务 ， 并 预计 订单 数目 为 N， 管 理 
员 可 能 很 难 估计 每 个 端点 的 具体 位 置 。 第 二 ， 即 使 数据 采用 相同 链 路 传输 ， 峰 值 流量 也 不 会 同时 
出 现 。 因 此 ， 要 构建 流量 矩阵， 在 不 知道 峰值 流量 何 时 出 现 的 条 件 下 ， 管 理 员 必须 预计 新 流量 对 
汇聚 流量 产生 的 全 部 影 啊 。 


7.20.5 估计 值 的 获取 和 验证 


一 旦 确定 了 流量 矩阵 ， 管 理 员 就 可 以 利用 该 矩阵 以 及 网 络 拓扑 和 路 由 架构 的 描述 计算 所 有 
链 路 和 网 络 元 素 的 峰值 资源 需求 。 其 实 ， 每 个 〈 源 地 址 ， 目 标 地 址 ) 元 组 的 流量 都 要 上 映射 到 网 
络 路 径 上 ， 并且 计算 该 路 径 中 的 所 有 链 路 和 网 络 元 素 的 流量 总 和 。 由 每 条 链 路 的 总 流量 可 以 得 
出 该 链 路 的 容量 需求 。 而 计算 每 秒 钟 到 达 某 个 设备 〈 例 如 了 正路 由 囊 ) 的 数据 包 总 数 ( 即 所 有 输 
入 的 总 和 ) 可 以 得 到 该 设备 的 交换 容量 需求 。 

容量 规划 过 程 的 核心 思想 是 对 流量 矩阵 的 验证 (validation); 在 添加 新 流量 的 估计 值 之 前 ， 
管理 员 使 用 当前 流量 的 测量 结果 ， 将 和 矩阵 中 的 数据 分 别 映射 到 不 同 的 资源 上 ， 并 将 计算 得 到 的 
资源 负载 同 实际 测 得 的 资源 负载 相 比较 。 如 果 估 计 值 同 测量 值 相近 ， 则 证 明 该 模型 有 效 ， 管 理 员 
即 可 向 矩阵 中 添加 新 流量 的 估计 值 ， 以 确保 结果 的 正确 性 。 

如 有 果 流 量 模型 不 符合 实际 结果 ， 束 必须 对 其 进行 调整 (tune)。 管 理 员 不 但 要 检查 基本 流量 
测量 方式 ， 还 需要 检查 每 条 链 路 在 高 蜂 时 段 出 现 的 峰值 流量 的 次 数 的 假定 。 在 使 用 估计 值 的 情 
况 下 ， 管 理 员 必须 注意 估计 值 可 能 产生 的 不 确定 性 ， 并 关注 具有 较 大 不 确定 性 的 可 改进 项 。 


7.20.6 潜在 变化 的 试验 
流量 模型 的 主要 优点 在 于 能 使 管理 员 发 据 网 络 的 潜在 优化 方案 ， 而 不 影响 网 络 的 当前 状态 。 
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也 就 是 说 ， 管 理 员 首先 假定 网 络 的 一 个 变化 ， 然 后 用 流量 矩阵 观察 这 种 变化 如 何 影响 网 络 行为 。 
变化 方式 包括 以 下 三 种 ， 

。 改 变 网 络 拓扑 。 

o 改变 网 络 路 由 。 

o 改变 故障 假定 。 

改变 网 络 拓扑 最 容易 想象 ， 例 如 ， 管 理 员 能 够 探测 扩充 链 路 容量 或 增加 额外 链 路 产生 的 影 
响 。 如 果 资 源 利用 率 的 计算 过 程 能 够 自动 完成 ， 管 理 员 就 可 以 轻松 尝试 多 种 可 能 出 现 的 状况 。 下 
一 节 将 重点 讨论 改变 路 由 结构 和 改变 故障 假定 。 


7.21 路 由 改变 和 流量 工程 


容量 规划 的 为 一 个 关键 点 是 路 由 : 改变 第 三 层 路 由 结构 能 动态 改变 资源 利用 率 。 特 别 的 ， 如 
果 不 扩充 链 路 容量 ， 还 可 以 选择 其 他 路 径 进 行路 由 传输 。 

关注 路 由 的 管理 员 通 常 遵循 的 处 理 方 式 称 为 流量 工程 (traffic engineering), EWECH, 
管理 员 控 制 单条 数据 传输 的 路 由 。 特 别 的 ， 针 对 特定 入 日 点 和 特定 出 口 点 ,管理 员 能 够 区 分 其 中 
哪些 网 络 流量 能 够 使 用 不 同 的 路 径 进行 转发 。 

流量 工程 中 应 用 最 广泛 的 技术 是 多 协议 标记 交换 (MPLS ) ， 它 能 使 管理 员 为 流 经 特定 人 口 
点 和 出 口 点 的 特定 类 型 流量 创建 一 条 路 径 。 很 多 大 型 ISP 都 会 在 网 络 核 心路 由 器 之 间 创 建 MPLS 
路 径 的 一 个 全 网 型 拓扑 (full mesh), ， 即 任意 一 对 核心 路 由 器 之 间 都 具有 一 条 MPLS REY, 


7. 22 ”故障 情况 和 可 用 性 


容量 规划 还 包括 在 故障 状态 下 对 网 络 恢复 能 力 的 规划 。 其 思想 非常 简单 : 考虑 网 络 在 一 系 
列 故障 情况 下 的 操作 表现 ， 并 规划 额外 容量 和 备份 路 由 以 保持 网 络 的 可 用 性 。 故 障 规划 对 于 服 
务 提 供 商 至 关 重 要 ， 因 为 他 们 提供 的 业务 依赖 于 可 用 性 的 保证 。 同 时 ， 故 障 规划 对 企业 来 说 也 同 
样 重 要 。 

单 点 故障 (single point failure) 是 故障 情况 的 典型 代表 。 最 明显 的 例子 是 单 链 路 故障 或 单一 
网 络 元 素 故 障 。 然 而 ， 规 划 者 更 关注 设备 (facility) 故障 。 例 如 ， 规 划 者 可 能 会 发 现 : 同一 个 物 
理 支 架 上 的 网 络 元 素 共 享 相同 的 电力 资源 ， 多 个 逻辑 线路 复 用 相同 的 底层 光缆 ; 或 者 多 种 服务 
位 于 同一 个 电话 接 入 网 (Point of Presence，POP)。 因 此 ， 要 达到 规划 的 目的 ， 管理 员 可 能 将 设 
备 定 义 为 文 架 、 光 缆 或 电话 接 人 网 。 一 旦 定义 了 设备 ， 管 理 员 需 要 考虑 在 该 设备 所 有 部 件 都 不 可 
用 时 ， 网 络 的 性 能 表现 如 何 。 要 点 : 








除了 应 对 流量 增长 而 实施 的 容量 规划 之 外 ， 管 理 员 还 要 考虑 可 能 出 现 的 故障 并 充分 规 
划 容 量 ， 使 网 络 在 出 现 问题 时 仍然 能 够 继续 路 由 。 








7.23 总 结 


性 能 测量 和 评估 是 网 络 管理 中 的 关键 部 分 ， 它 包括 两 个 方面 。 一 方面 ， 它 关注 资源 的 当前 使 
用 状况 和 网 络 的 当前 性 能 表现 。 为 一 方面 ， 它 关注 网 络 的 发 展 趋势 以 及 容量 规划 。 
网 络 中 主要 的 测量 指标 是 延迟 时 间 、 否 吐 量 、 丢 包 率 、 拌 动 以 及 可 用 性 。 网 络 性 能 不 存在 单 


O 在 后 续 介 绍 网 络 管理 工具 的 章节 中 会 继续 讨论 MPLS 流量 工程 。 
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独 的 评测 指标 ， 原 因 在 于 每 个 应 用 程序 可 能 只 受 其 中 一 部 分 参数 的 影 啊 而 与 其 他 参数 无 关 。 虽 
然 测 量 单独 网 络 部 件 最 为 简单 ， 但 要 得 到 有 意义 的 评测 结果 就 需要 进行 端 - 端 测量 ， 这 时 可 能 
采用 主动 探测 方式 。 

测量 结果 用 于 发 现 瓶 颈 并 实施 容量 规划 。 单 一 交换 机 的 网 络 规划 简单 直接 ， 只 需要 获知 端 
口 数目 即 可 。 

利用 率 同 延迟 相关 。 要 得 到 链 路 利用 率 ， 管 理 员 需要 在 一 段 时 间 内 进行 多 次 测量 。 对 大 部 分 
网 络 ， 安 排 15 分 钟 的 时 间 间 隅 是 合适 的 。 峰 值 利用 率 可 根据 流量 为 99% 以 上 的 数据 计算 。 对 于 
频繁 使 用 的 链 路 ， 峰 值 利用 率 同 平均 利用 率 的 比值 几乎 不 变 ， 这 使 得 管理 员 能 够 测量 平均 利用 
率 并 使 用 50/80 规则 。 

管理 员 使 用 流量 符 阵 对 网 络 负 载 建 模 ， 该 矩阵 能 给 出 从 每 个 网 络 人 口 点 到 出 口 点 的 峰值 数 
据 传输 率 的 平均 值 。 给 定 网 络 拓扑 ， 管 理 员 能 应 用 流量 矩阵 中 的 数值 来 确定 给 定 链 路 或 网 络 元 
素 的 容量 。 要 实施 容量 规划 ， 管 理 员 需 要 改变 对 网 络 拓扑 或 路 由 的 假定 ， 并 计算 新 的 资源 需求 。 

[95] 除了 在 正常 状况 下 实施 容量 规划 之 外 ， 管 理 员 还 要 考虑 额外 容量 需求 以 应 对 故障 的 发 生 。 


8.1 简介 


前 面 各 章 介 绍 了 网 络 管理 的 基本 背景 ， 每 一 章 都 从 一 个 特定 角度 对 FCAPS 模型 进行 了 详细 
的 说 明 。 

本 章 将 从 网 络 管理 安全 性 的 角度 出 发 ， 完 成 对 FCAPS 模型 的 讨论 。 本 章 内 容 侧 重 于 从 管理 
的 角度 介绍 安全 性 ， 不 会 过 多 关注 保障 安全 性 的 技术 和 产品 。 本 章 将 讨论 网 络 管理 员 必须 面 对 
的 安全 风险 ， 并 概述 风险 控制 的 步 又。 


8.2 安全 网 络 的 幻想 


很 多 管理 员 对 安全 持 有 一 种 错误 的 观点 ， 他 们 将 安全 的 网 络 (secure network) 视 为 一 种 要 
达到 的 目标 。 如 果 安 全 的 网 络 是 一 个 目标 ， 随 之 而 来 的 管理 问题 是 :“ 采 取 什 么 措施 可 以 使 网 络 
更 安全 ?” 供 应 商 声称 自己 的 安全 产品 能 够 抵御 某 种 安全 攻击 ， 这 些 商 业 广告 的 吹捧 进一步 迎合 
了 错误 的 观念 。 

计算 机 网 络 何 时 才能 达到 彻底 安全 ? 遗憾 的 是 ， 绝 对 的 安全 性 只 是 一 种 幻想 一 — 
技术 能 够 保证 网 络 永远 不 受到 潜在 风险 的 攻击 。1999 年 7 月 ,“ 纽 约 时 代 ” 和 杂志 刊登 了 一 篇 关于 
计算 机 网 络 的 文章 ， 简 洁 地 表达 了 下 述 观 点 : 


安全 的 计算 机 网 络 并 不 存在 。 


8.3 安全 性 是 一 个 过 程 


如 果 网 络 永远 不 可 能 达到 绝对 安全 ， 那 么 管理 员 该 如 何 看 待 安 全 性 ” 答案 在 于 理解 安全 性 
是 一 个 不 断 改 进 的 过 程 ， 而 非 目 标 一 一 即使 网 络 不 可 能 绝对 安全 ， 管 理 员 依 然 可 以 不 断 地 提高 
它 的 安全 性 。 也 就 是 说 ， 管 理 员 可 以 评估 潜在 风险 ,采取 相应 措施 解决 或 避免 安全 性 问题 ， 并 在 
此 基础 上 进一步 评估 网 络 风 险 。 图 8-1 列举 了 管理 员 执 行 的 操作 。 





© 评估 洪 在 风险 。 
© 确立 避免 风险 的 策略 。 


© 评价 现 有 技术 和 处 理 机 制 。 
。 采用 适当 的 程序 和 技术 。 
© 衡量 解决 方案 的 有 效 性 。 





图 8-1 管理 员 执 行 的 用 以 评 佑 并 提高 网 络 安全 性 的 活动 


由 上 述 内 容 可 知 ， 安 全 性 管理 同 网 络 管理 的 其 他 方面 有 着 本 质 的 区 别 。 安 全 策略 对 网 络 的 


各 方面 性 能 均 有 影响 ， 其 中 包括 网 络 元 素 配置 及 操作 、 协 议和 网 络 服务 。 安 全 性 策略 不 但 会 对 网 
络 管理 员 产 生 影响 ， 还 会 对 内 部 和 外 部 的 网 络 用 户 产 生 影 响 。 
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安全 性 同 FCAPS 模型 的 其 他 方面 不 同 ， 原 因 在 于 安全 性 是 一 个 持续 的 过 程 ， 它 对 网 络 





元 素 、 服 务 和 用 户 都 会 产生 影响 。 


8.4 安全 性 的 相关 术语 和 概念 


在 讨论 安全 性 管理 之 前 ， 需 要 对 一 些 基 本 术语 进行 定义 。 对 于 在 后 面 的 讨论 中 将 用 到 的 术 
十 ， 本 节 只 给 出 简要 概括 ， 而 不 会 进行 详细 解释 和 举例 ; 

e 身份 标识 。 

e 认证 。 

© 授权 。 

© 数据 完整 性 。 

© 隐私 和 保密 性 。 

e 加 密 。 

1) 身份 标识 〈identity ) : 很 多 安全 性 问题 都 会 涉及 对 个 体 、 应 用 程序 或 网 络 元 素 的 身份 验 
证 。 为 完成 验证 ， 必 须 为 每 个 实体 分 配 一 个 唯一 的 身份 标识 ， 这 种 标识 可 以 是 数字 、 文 本 字符 串 
或 其 他 内 容 。 每 个 网 络 元 素 的 身份 标识 可 以 根据 配置 获得 ， 也 可 以 永久 固定 〈 例 如 ， 焊 烙 在 硬 
件 上 的 序列 号 ) 。 | 

2) 认证 (authentication): 广义 的 认证 是 指 对 通信 对 方 的 身份 验证 。 也 就 是 说 ， 消 息 接收 方 
使 用 认证 机 制 来 确认 消息 发 送 方 的 身份 标识 。 通 信 双 方 可 以 只 在 通信 初始 化 时 ( 即 建立 连接 之 
时 ) 进行 认证 ， 也 可 以 在 每 一 次 数据 交换 时 都 进行 认证 。 

3) 授权 (authorization): 为 了 进行 访问 控制 ， 管 理 系统 会 为 每 个 管理 员 或 管理 程序 分 配 一 
系列 限制 规则 和 权限 。 每 当 接 收 到 一 个 请 求 ， 管 理 系 统 首 先 会 验证 请 求 者 的 身份 标识 ， 随 即 调用 
授权 机 制 判断 这 个 请 求 是 否 处 在 请 求 者 的 权限 范围 之 内 。 

4) 数据 完整 性 (data integrity): 数据 完整 性 机 制 允许 接收 方 检验 消息 中 的 数据 在 网 络 传输 
过 程 中 是 否 被 自 改 。 上 典型 的 数据 完整 性 方案 要 求 发 送 方 为 每 个 消息 添加 额外 信息 。 接 收 方 可 以 
根据 额外 信息 判断 消息 内 容 是 否 被 修改 。 

5) 隐私 和 保密 性 (privacy and confidentiality); 虽然 有 些 安全 专家 认为 隐私 和 数据 保密 性 这 
两 个 术语 含义 不 同 ， 但 多 数 网 络 专业 人 员 在 应 用 中 对 它们 不 加 区 分 。 实 际 上 ， 数 据 保密 性 机 制 会 
对 消息 进行 编码 ， 防 止 窃听 者 破解 出 消息 的 真实 含义 。 在 这 种 “秘密 的 ”通信 过 程 中 ， 即 使 第 
三 方 获取 了 网 络 传输 的 消息 副本 ， 也 无 法 将 其 解码 并 获知 具体 内 容 。 

6) #25 (encryption): 加 蜜 机制 允 许 发 送 方 通过 某 种 计算 方式 对 消息 编码 ， 只 有 合法 的 接 
收 者 才能 正确 解码 。 加 密 是 实现 认证 和 隐私 保护 的 根本 机 制 。 


8.5 安全 性 管理 目标 


网 络 管理 员 会 关注 安全 性 的 以 下 几 个 方面 : 

ee) te Sik 

© 访问 控制 

© 保密 性 和 安全 性 的 保证 

1) RP: 管理 员 试图 保护 资源 免 遭 未 经 授权 的 使 用 、 破 坏 、 复 制 和 窃取 。 管 理 员 不 但 要 关 
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心 对 网 络 本 吴 的 攻击 ， 还 要 关心 对 于 终端 用 户 系统 和 其 他 资源 的 攻击 。 另 外 ， 管 理 员 还 要 制订 相 
应 的 策略 抵抗 物理 攻击 和 电子 攻击 。 最 后 ， 除 了 对 基本 基础 设施 的 保护 之 外 ， 管 理 员 还 要 将 保护 
延伸 到 应 用 服务 领域 。 

2) 访问 控制 : 网 络 安全 的 一 个 重要 组 成 部 分 就 是 对 网 络 服务 以 及 网 络 本 身 实 施 访问 控制 。 
管理 员 需 要 制订 安全 策略 确定 哪些 用 户 能 够 访问 资源 ， 并 规定 允许 或 禁止 用 户 执行 的 操作 。 除 
对 用 户外 ， 访 问 控制 同样 适用 于 管理 员 一 一 只 有 网 络 管理 团队 中 的 特定 成 员 才 能 控制 或 修改 网 
络 的 部 分 功能 ， 而 其 他 人 不 能 完成 这 项 工作 ”。 

3) 保密 性 和 安全 性 的 保证 : 网 络 管理 员 必 须 尽 可 能 地 维护 信息 的 安全 性 ， 即 管理 员 需 要 咨 
询 数 据 的 拥有 者 ， 并 采取 相应 的 措施 以 达到 数据 保密 性 的 需求 。 保 密 性 不 但 要 针对 终端 用 户 系 
统 存 储 的 数据 ， 还 要 针对 在 网 络 中 进行 传输 的 数据 。 因 为 本 地 用 户 的 数据 保密 性 和 外 部 客户 的 
数据 保密 性 同样 重要 。 


8.6 风险 评估 


风险 评估 涉及 在 易 用 性 和 风险 之 间 做 出 权衡 。 一 方面 ， 没 有 任何 限制 的 网 络 最 便于 使 用 ， 这 
时 员工 和 客户 的 工作 效率 最 高 。 男 一 方面 ， 不 加 任何 限制 的 网 络 最 容易 被 他 人 滥用 。 

因此 ， 当 进行 风险 评估 的 时 候 ， 管 理 员 必 须 全 面 考虑 企业 的 整体 目标 ， 并 为 不 同 部 门 制订 不 
同 级别 的 安全 策略 。 例 如 ， 公 司 的 财务 部 门 通常 具有 更 高 的 安全 需求 。 因 此 ， 即 使 使 用 网 络 的 难 
度 增 加 ， 财 务 部 门 对 计算 机 网 络 的 应 用 仍然 会 采取 更 严格 的 限制 。 

万 一 方面 ， 风 险 评 佑 关注 对 财务 的 影响 : 安全 性 被 破坏 会 给 企业 带 来 的 潜在 开销 。 要 预计 这 
个 开销 ， 管 理 员 必须 分 析 特 定 事件 发 生 的 概率 以 及 发 生 该 事件 对 企业 的 负面 影响 。 例 如 ， 管 理 员 
会 根据 税收 流失 、 员 工 生 产 率 下 降 、 知 识 产 权 流 失 以 及 潜在 的 刑事 责任 来 估计 潜在 损失 。 

理解 风险 发 生 的 概率 和 潜在 开销 非常 重要 ， 原 因 在 于 所 有 安全 工作 都 需要 在 预防 风险 的 开 
销 和 危险 造成 的 损失 之 间 进 行 折 衷 。 最 后 ， 管 理 员 必须 根据 风险 评估 结果 决定 哪些 安全 问题 需 00 
要 即刻 解决 ， 哪 些 安 全 问题 可 以 延 后 解决 。 


8.7 安全 策略 


在 确定 要 使 用 某 些 安全 性 程序 或 安全 性 技术 之 前 ， 管 理 员 需 要 为 企业 制订 相应 的 安全 策略 ， 
并 撰写 文档 。 安 全 策略 包括 对 网 络 操作 的 整体 陈述 ， 例 如 : 


在 企业 网 络 中 传输 的 财务 数据 都 要 进行 加 密 


Ey 
a 


安全 策略 中 需要 规定 哪些 员工 具有 处 理 特 定安 全 性 事务 的 资格 ， 例 如 ; 
只 有 高 级 安全 管理 员 才 能 拥有 企业 私 钥 的 书面 副本 。 


安全 策略 还 包括 当 安 全 性 受到 破坏 时 需要 遵循 的 处 理 方案 ， 例 如 : 


当 首 次 检测 到 影响 安全 性 的 事件 时 ， 网 络 管理 团队 必须 将 该 事件 报告 给 信息 安全 


主管 。 





O ”本 书 还 将 在 后 续 的 章节 中 再 次 讨论 网 络 管理 员 的 受 限 访问 内 容 。 
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最 后 ， 安 全 策略 会 规定 需要 保存 的 记录 ， 例 如 : 





安全 日 志 必 须 记录 每 个 事件 被 检测 到 的 时 间 和 相应 的 处 理 措施 。 


为 得 到 最 好 的 实施 效果 ， 安 全 策略 中 应 该 说 明 事 件 的 预期 结果 ， 而 不 该 规定 达到 预期 结 采 
的 详细 步骤 。 如 果 策 略 中 规定 了 具体 操作 细节 ， 那 么 管理 员 需 要 不 断 修改 策略 以 迎合 环境 的 变 
化 ， 否 则 ， 安 全 策略 将 脱离 现实 。 例 如 ， 假 定 茶 安全 策略 详细 说 明了 特定 加 密 技 术 的 使 用 方法 ， 
如 果 该 技术 过 时 ， 那 么 选择 新 的 兰 代 技术 的 人 员 将 无 法 理解 原 有 的 技术 选择 标准 。 然 而 ， 如 果 该 
策略 清晰 地 列 出 了 选择 该 技术 要 实现 的 安全 目标 ， 管 理 员 就 能 了 解 如 何 选 择 一 种 满足 需求 的 蔡 
代 技 术 ， 同 时 ， 原 有 的 安全 策略 也 可 以 保持 不 变 。 


8. 8 可 接受 的 使 用 策略 


网 络 策略 的 一 个 方面 尤为 突出 ， 这 就 是 可 接受 的 使 用 策略 (Acceptable Use Policy, AUP), 
AUP 根据 网 络 应 用 定义 了 一 系列 规则 ， 包 括 网 络 中 允许 或 禁止 的 流量 和 活动 。AUP 通常 用 来 限 
制 用 户 的 操作 。 例 如 ，AUP 会 规定 禁止 运行 的 应 用 程序 〈( 例 如， 禁止 用 户 运行 对 等 的 文件 共享 
程序 ) 或 限制 交互 行为 〈 例 如， 用 户 只 能 运行 客户 端 程序 ， 而 不 能 运行 服务 器 软件 ) 。 

AUP 的 不 同 寻常 之 处 在 于 它 的 使 用 限制 来 目 于 法 律 、 财 政 或 安全 方面 的 考虑 。 例 如 ， 在 某 些 大 
ZE, AUP 会 禁止 将 校园 网 络 用 于 鳃 利 活动 。 从 安全 的 角度 来 看 ， 管 理 员 必须 确定 哪些 使 用 网 络 的 
行为 会 危害 安全 策略 。 例 如 ，AUP 中 可 能 会 规定 禁止 转发 来 自 外 部 网 络 的 数据 包 ， 因 为 这 样 会 使 得 
外 部 人 员 无 需 经 过 企业 的 防火 墙 或 其 他 安全 机 制 的 审查 即 可 访问 某 组 织 的 内 部 网 络 。 


8.9 基本 的 安全 性 技术 


网 络 安 全 应 用 的 基本 技术 大 致 包括 以 下 三 类 . 
© 加 密 技术 

© 周 长 控 制 技术 

© 内 容 控 制 技术 


8.9.1 加密 技术 


加 密 技术 是 保密 和 认证 的 基础 。 从 网 络 管理 员 的 角度 来 看 ， 加 密 技术 可 分 为 以 下 三 种 类 型 : 

。 共享 密 角 加密 

© 公 角 加密 

。 会 话 密 钥 

1) 共享 密 钥 加 密 : 顾名思义 ， 这 种 加 密 技术 是 指 所 有 参与 者 分 享 同一 个 加 密 密 钥 。 共 享 密 
钥 加 密 的 基本 原则 在 于 密 钥 的 管理 策略 和 过 程 。 例 如 ， 人 允许 哪个 管理 员 获 知 密 钥 ? 如 果 多 站 点 采 
用 加 密 机 制 传输 数据 ， 共 享 密 钥 的 副本 如 何在 不 同 站 点 之 间 传 递 ? 

2) AAS: 另 一 种 主要 的 加 密 形 式 称 为 公 钥 加 密 (public key) 机 制 。 同 共享 密 钥 技 术 不 
同 ， 公 钥 加 密 要 求 通信 双方 拥有 两 个 密 钠 : 一 个 保密 的 私 钥 (private key) 和 一 个 公开 的 公 铀 
(public key) 。 因 此 ， 私 钥 只 在 拥有 密 钥 的 组 织 内 部 保密 ,但 是 所 有 人 都 能 获知 该 组 织 的 公 钥 。 

尽管 上 述 两 种 加 密 方式 都 需要 管理 员 保 守 一 个 秘密 ,但 是 这 两 种 方法 依据 保守 秘密 的 组 织 
数目 不 同 而 具有 较 大 差异 。 在 公 钥 系统 中 ， 秘 密 信 息 只 限 组 织 内 部 掌握 一 一 外 部 参与 者 无 需 获 
知 该 组 织 的 私 钥 。 而 在 共享 密 钥 系统 中 ， 所 有 参与 者 都 需要 获知 密 钥 。 
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3) SBA: 包括 SSL 在 内 的 加 密 技术 都 依赖 称 为 会 话 密 钥 (session key) 或 一 次 性 密 铀 
(one-time key) 的 机 制 。 从 本 质 上 看 ， 这 是 指 相 互 连 接 的 终端 在 会 话 过 程 中 (例如 ， 一 个 网 络 
传输 过 程 ) 共同 协商 密 钥 以 完成 数据 加 密 。 大 多 数 会 话 密 钥 是 自动 生成 的 ， 管 理 员 无 需 管理 窗 
钥 或 者 将 密 钥 保 密 。 


8.9.2 周 长 控 制 技术 


网 络 的 周 长 (perimeter) 是 指 能 从 外 部 网 络 接收 数据 包 的 网 络 元 素 的 集合 。 管 理 员 能 够 应 用 
周 长 控 制 技 术 〈perimeter control technology) 精确 定义 组 织 网 络 和 外 部 网 络 之 间 的 界限 。 周 长 控 
制 用 于 确定 哪些 外 部 人 员 能 够 访问 内 部 网 络 以 及 能 进行 哪些 操作 。 例 如 ， 管 理 员 可 以 应 用 周 长 
控制 技术 限制 传输 到 内 部 网 络 的 数据 包 类 型 ， 并 限制 数据 包 能 够 到 达 的 目标 地 址 。 

以 下 三 种 机 制 可 以 用 于 周 长 控制 : 

© 有 状态 的 防火 墙 

。 信 侵 检测 系统 (IDS) 

© 虚拟 专用 网 (VPN) 

1) 有 状态 的 防火 墙 : 管理 员 配 置 防火 墙 以 便 进行 数据 包 过 滤 。 也 就 是 说 ， 管 理 员 设 定 一 系 
列 规则 来 说 明 允 许 哪些 数据 包 进 入 内 部 网 络 ( 即 通 过 防火 墙 ， 防 火 墙 会 阻止 其 他 数据 包 进 入 。 
大 多 数 防火 墙 允 许 管理 员 单独 创建 规则 对 从 内 部 发 送 到 外 部 网 络 的 数据 包 进 行 过 滤 。 如 果 一 个 
防火 墙 允许 管理 员 设 定 相应 规则 ， 使 之 自动 接收 从 内 部 到 外 部 通信 的 回复 ,那么 这 个 防火 增 称 
AA ARASH (stateful) 防火 墙 。 因 此 ， 管 理 员 能 够 制订 规则 ， 规 乍 内 部 用 户 无 论 何 时 打开 一 个 
站 点 的 连接 ,防火墙 都 要 允许 该 连接 的 输入 数据 包 通 过 该 组 织 的 网 络 ， 而 不 必 对 不 同 站 点 分 别 
创建 规则 。 

2) 入 侵 检测 系统 : 原则 上 ，IDS 只 能 提供 被 动 检测 。 也 就 是 说 ，IDS 仅 能 监控 从 人 口 点 到 
出 口 点 的 流量 ， 当 检测 到 可 能 引发 安全 问题 的 非 预 期 流量 时 能 及 时 告知 管理 员 。 在 实践 中 ，IDS 
同样 可 以 作为 数据 包 过 滤器 一 当 检 测 到 洲 在 安全 威胁 的 时 候 ，IDS 会 自动 确立 相应 规则 阻止 来 
自 同 一 源 地 址 的 后 续 数 据 包 ， 直 到 管理 员 对 当前 状况 进行 检测 并 决定 是 否 继续 阻止 该 数据 通过 。 

3) 虚拟 专用 网 : 周 长 控 制 的 一 个 特殊 而 有 趣 的 情况 涉及 对 于 VPN 技术 的 管理 。 实 质 上 ， 
VPN 可 以 绕 过 周 长 限 制 并 允许 外 部 用 户 直 接 访问 网 络 ， 或 者 通过 公共 因特网 连接 两 个 组 织 的 站 
点 。 昌 然 这 为 远程 工作 的 员工 提供 了 方便 ， 但 组 织 内 部 几乎 所 有 的 计算 机 经 配置 后 都 能 够 运行 
VPN 软件 为 外 部 提供 访问 通道 ， 这 就 可 能 使 得 VPN 技术 被 滥用 。 管 理 员 必 须 监 督 员工 在 不 经 意 
间 以 病毒 形式 引入 的 隐蔽 VPN 软件 。 


8.9.3 ”内容 控 制 技 术 


第 三 类 安全 技术 关注 传输 的 数据 。 内 容 控 制 技术 (content control technology) 会 提取 并 分 析 
完整 的 数据 流 ， 而 不 是 检查 单个 数据 包 。 内 容 控制 系统 通常 以 代理 的 方式 运行 ， 代 表 用 户 执行 操 
fe, 分析 相 关 数 据 ， 只 有 妆 数 据 通过 检测 后 才 允 许 进行 后 续 的 操作 。 

内 容 控 制 包括 三 种 广泛 应 用 的 形式 : 

© 垃圾 邮件 过 渡 融 

© 病毒 扫描 各 

o 模式 匹配 天 





CO ”有 管理 员 指 出 ， 使 和 内 部 网 络 的 私有 P 地 址 能 使 防火 墙 规则 易于 配置 并 减少 人 为 故障 。 
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垃圾 邮件 过 滤器 (spam filter) 和 邮件 服务 器 共同 使 用 ， 用 于 清除 垃圾 邮件 。 对 于 一 封 来 日 
外 部 的 邮件 消息 ， 它 首先 会 被 放置 在 临时 存储 器 中 ， 然 后 经 过 垃圾 邮件 过 滤器 的 检验 ， 如 末 认 为 
是 垃圾 邮件 则 将 其 删除 ， 如 不 是 则 将 其 转发 到 目标 地 址 的 邮箱 中 。 某 些 系统 会 将 垃圾 邮件 放置 
在 特殊 的 邮箱 中 ， 而 不 是 直接 删除 ， 由 用 户 选 择 将 其 丢弃 还 是 保留 。 

由 于 系统 可 以 对 电子 邮件 、 文 件 传输 程序 检索 的 输入 数据 文件 以 及 网 页 进行 病毒 扫描 ， 因 
此 ， 闹 毒 扫 描 器 (virus scanner) 跨越 了 多 个 应 用 程序 领域 。 在 进行 病毒 扫描 之 前 ， 输 入 数据 会 
被 放置 在 临时 存储 区 域 中 ， 这 点 同 垃圾 邮件 过 滤器 相似 。 经 检查 ， 如 果 一 个 数据 项 没有 感染 任何 
已 知 的 病毒 ， 系 统 会 将 其 送 往 目 标 地 址 。 

模式 匹配 器 (pattern matcher) 是 一 种 广义 上 的 病毒 扫描 磊 。 病 毒 扫描 融会 检查 数据 模式 是 
GA EEG, MRE RS. PON, PTDL AC AEA HT ae Re 
包含 罕见 肤色 的 大 面积 区 域 。 

内 容 控制 系统 最 重要 的 管理 问题 之 一 是 要 考虑 对 仓储 容量 和 处 理 时 间 的 需求 一 -管理 员 必 
须 预 留 足够 的 处 理 能 源 以 维持 正常 的 传输 速度 ， 同 时 还 需要 确保 拥有 充足 的 临时 存储 空间 接收 
待 检 验 的 全 部 数据 。 由 于 大 量 的 数据 项 会 使 临时 存储 空间 成 为 瓶 代 ， 因 此 ， 管 理 员 可 以 限制 数据 
项 的 长 度 ( 例 如， 约束 电子 邮件 消息 的 长 度 )。 


8.10 ”管理 问题 和 安全 性 


后 续 几 节 将 讨论 同安 全 性 相关 的 重要 管理 问题 。 这 些 描述 不 是 所 有 安全 管理 任务 或 问题 的 
详细 列表 ， 相 反 ， 它 会 为 读者 指出 一 系列 非常 重要 的 管理 问题 。 

这 几 节 考虑 的 是 关于 安全 性 的 基础 问题 、 更 普遍 的 问题 以 及 日 津 事务。 特别 的 ， 讨 论 将 以 一 
个 组 织 为 保证 安全 性 所 采取 的 整体 措施 作为 开始 ， 并 确定 该 组 织 如 何 维 护 网 络 安全 系统 并 选择 
安全 技术 。 
8.11 安全 架构 : 边界 VS 资源 


“安全 架构 ” (security architecture) 这 个 术语 的 含义 是 指 对 安全 系统 的 总 体 设计 。 选 择 安全 
架构 的 根本 问题 在 于 ， 网 络 保护 应 该 达到 什么 级 别 ? 在 设计 安全 架构 的 时 候 ， 管 理 员 必须 解决 这 
个 问题 。 以 下 两 种 方法 能 够 帮助 管理 员 理解 问题 的 实质 : 

。 关注 边界 : 在 网 络 边界 设立 安全 屏障 ， 仅 允许 受信 任 的 参与 者 访问 网 络 并 获取 网 络 中 的 

任意 资源 。 

。 关 注资 源 : 忽略 网 络 周 长 ， 允 许 所 有 人 访问 网 络 ， 但 是 要 对 不 同 的 网 络 资源 分 别 设置 不 同 

的 安全 屏障 。 

边界 安全 : 企业 通常 愿意 采用 边界 安全 的 方式 ， 因 为 企业 员工 可 以 被 视 为 “内 部 访问 者 ”， 
其 他 人 都 可 以 被 视 为 “外 部 访问 者 ”。 也 就 是 说 ， 企 业 通常 关注 实施 边界 安全 ， 但 是 不 允许 内 部 
用 户 跨越 网 络 屏障 获取 资源 。 在 某 些 情况 下 ， 企 业 会 将 网 络 划分 为 “内 部 ”区 域 和 “外 部 ”区 
域 ， 并 限制 外 部 访问 者 只 能 访问 外 部 区 域 。 

资源 安全 : 服务 提供 商 提供 通过 性 服务 ， 因 此 它们 愿意 采用 资源 安全 的 方式 。 也 就 是 说 ， 服 
务 提供 商 的 网 络 不 进行 数据 包 过 渡 或 访问 限制 一 -任何 Internet 用 户 都 能 同 提供 商 的 任意 客户 进 
行 数据 包 交换 。 因 此 ， 服 务 提供 商 需要 依靠 客户 来 保护 自己 的 资源 。 如 果 提 供 商 自己 提供 诸如 网 
页 寄存 等 服务 时 ， 每 个 服务 都 要 受到 保护 。 

在 实践 中 ， 大 多 数 网 络 会 同时 采用 边界 安全 和 资源 安全 这 两 各 方式。 例如， 虽然 企业 会 限制 
内 部 网 络 仅 能 由 员工 访问 ， 但 企业 同样 可 以 要 求 其 他 用 户 输入 认证 口令 以 获取 工资 数据 。 再 例 





W, 一些 网 络 会 为 受 限 的 外 部 流量 设置 隔离 区 ”( 通 常 是 单独 的 子 网 )。 因 此 ， 管 理 员 在 设计 安 
全 架构 的 时 候 必 须要 考虑 一 个 最 根本 的 问题 ， 即 限制 网 络 只 向 受信 任 的 用 户 开 放 与 控制 不 同 资 
源 的 安全 性 之 间 的 折 表 。 总 结 : 





在 创建 安全 性 架构 的 时 候 ， 管 理 员 必须 考虑 何 时 采取 边界 安全 的 方式 以 及 何 时 采取 资 
源 安 全 的 方式 以 便 对 不 同 的 资源 进行 保护 。 














8.12 网络 元 素 协 同和 防火 墙 联 盟 


在 第 3 章 中 曾 介绍 过 ， 网 络 元 素 需 要 单独 进行 配置 和 管理 。 这 就 使 得 网 络 管理 员 面 临 一 个 重 
要 的 问题 : 多 个 网 络 元 素 的 协同 〈coordinating) 。 例 如 ， 网 络 管理 员 必 须 对 运行 在 网 络 服务 器 上 
的 安全 机 制 和 运行 存 用 户 计算 机 上 的 客户 端 机 制 进行 协调 。 本 书 的 第 二 部 分 将 讨论 设备 协同 的 
相关 工具 和 平台 ,但 是 没有 任何 一 种 协同 方案 能 够 普遍 适用 。 也 就 是 说 : 


大 多 数 网 络 都 采用 人 工 配 置 方 式 ， 以 保证 所 有 网 络 元 素 都 遵循 同样 的 安全 策略 。 








协同 中 有 一 项 事务 格外 重要 : 防火 墙 配 置 。 这 就 是 人 们 熟知 的 防火 墙 联盟 问题 (firewall 
unification problem) ， 这 个 问题 之 所 以 特别 重要 ， 是 因为 误 配 置 将 导致 入 侵 者 进入 网 络 并 访问 网 
络 资源 。 


8. 13 资源 限制 和 拒绝 服务 


本 书 曾 在 前 文 提 到 过 ， 诸 如 病毒 扫描 器 之 类 的 内 容 控制 技术 需要 对 输入 数据 进行 临时 存储 。 
存储 只 是 内 容 控 制 的 一 个 特例 ， 网 络 管理 员 需 要 考虑 的 更 普遍 的 问题 是 防止 资源 滥用 。 这 包括 
两 个 问题 : 

s 保护 单一 网 络 资源 。 

© 保护 整体 网 络 资源 。 

保护 单一 网 络 资源 是 指 保证 运行 在 某 网 络 元 素 上 的 任何 应 用 程序 都 不 能 随意 消耗 网 络 资源 。 
例如 ， 如 果 邮 件 服务 髓 允许 输入 任 总 长 度 的 消 奶 并 将 其 存储 在 磁盘 上 ， 则 攻击 者 就 可 以 通过 发 
送 大 量 信息 填 满 磁 盘 造 成 邮件 系统 瘫痪 。 

保护 整体 网 络 资源 则 更 加 困难 。 最 简单 直接 的 攻击 方式 称 为 拒绝 服务 攻击 (Denial Of Serv- 
ice attack, DOS 攻击 ) ， 它 以 极 高 的 速率 向 网 络 注 人 大 量 数 据 包 ， 导 致 网 络 处 于 不 可 用 状态 。 当 
然 ， 如 果 所 有 数据 包 都 来 自 同一 个 源 地 址 ， 那 么 管理 员 可 以 更 改 防火 墙 规则 以 便 过 滤 来 自 该 地 
址 的 流量 。 因 此 ， 攻 击 者 会 首先 攻破 互联 网 上 多 台 计 算 机 ， 并 将 这 些 计算 机 组 织 起 来 向 目标 网 络 
发 送 数据 包 ， 这 束 是 人 们 所 熟知 的 分 布 式 拒绝 服务 (Distributed Denial Of Service, DDOS) 攻 
击 ， 这 种 攻击 更 加 难于 控制 。 


8.14 ”认证 管理 
认证 是 指 对 通信 源 地 址 的 验证 。 管 理 员 可 以 应 用 以 下 几 种 不 同 级 别 的 认证 方式 : 





昌 、 现 有 的 便携 式 计算 机 使 隔离 方式 变 得 复杂 ， 其 原因 在 于 员工 连接 了 外 部 网 络 之 后 南 接 入 企业 网 络 ， 这 样 就 可 能 
引入 病毒 或 其 他 问题 软件 。 
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se。 数据 包 认 证 

e 消息 认证 

o 计算 机 系统 认证 

1) 数据 包 认 证 : IETF 组 织 定义 的 IPsec 协议 允许 接收 方 对 每 个 IP 数据 报 的 源 地 址 进行 认 
WE, BJA IPsec 协议 没有 得 到 大 规模 应 用 ,但 管理 员 仍 然 需要 了 人 解 有 类 似 协 议 。 

2) 消息 认证 : 从 一 台 计 算 机 传送 到 男 一 台 计 算 机 的 每 条 消息 都 可 以 进行 认证 。 例 如 ， 邮 件 
服务 器 可 以 对 每 个 邮件 消息 的 源 地 址 进行 认证 。 由 于 消息 认证 的 开销 更 小 ， 因 此 系统 更 倾向 于 
采用 消息 认证 而 非 数 据 包 认证 。 

3) 计算 机 系统 认证 : 当 应 用 程序 同 远程 系统 〈 例 如 ， 一 个 网 站 ) 通信 的 时 候 ， 应 用 程序 可 
以 采用 这 种 认证 方案 对 远程 计算 机 进行 身份 确认 。 采 取 认 证 能 够 避免 欺骗 (spoofing) 及 其 他 攻 
击 方式 。 例 如 ， 在 保证 用 户 对 某 网 站 进行 可 信 的 电子 商务 操作 之 前 ， 浏 览 器 需要 对 网 站 进行 身份 
验证 。 

管理 员 必 须 为 每 个 网 络 资源 (通常 是 服务 器 ) 选择 并 配置 一 种 认证 方案 。 在 大 多 数 情 况 下 ， 
认证 会 依赖 于 哈 希 算法 (hash algorithm)。 哈 希 算法 在 标准 加 密 机 制 的 基础 上 建立 ， 因 此 , 一 日 
管理 员 选 定 一 个 用 于 加 密 的 密 铀 ， 使 用 哈 希 算法 的 认证 方式 就 不 需要 其 他 条 件 了 。 


8. 15 ”访问 控制 和 用 尸 认 证 


多 种 方案 都 可 用 于 用 户 身 份 验证 。 这 些 方案 可 以 划分 为 以 下 三 种 基本 类 型 : 

e 什么 是 用 户 知道 的 《例如 ， 口令 )。 

e 什么 是 用 户 拥有 的 〈 例 如， 智能 卡 或 徽章 )。 

。 什么 是 用 户 与 生 俱 来 的 (例如 ， 指 纹 )。 

口令 管理 是 一 件 异常 困难 的 工作 。 首 先 ， 使 用 口令 的 原因 多 种 多 样 ， 包 括 登 录 特定 计算 机 、 
对 应 用 程序 进行 映 份 认证 以 及 访问 某 个 网 页 。 其 次 , 口令 机 制 通常 单独 管理 一 一 每 个 应 用 程序 
或 计算 机 系统 都 会 设置 各 日 的 方案 接受 并 进行 口令 验证 。 为 避免 要 求 用 户 记忆 多 个 口令 ,很 多 
管理 员 寻 求 在 不 同 平台 间 进 行 口 令 协 同 的 方式 。 因 此 ， 首 要 的 管理 问题 在 于 口令 协 间 。 

是 什么 使 得 口令 协同 如 此 困难 ? 最 主要 的 问题 在 于 口令 能 够 跨越 不 同类 型 的 系统 。 例 如 ， 除 
了 具有 口令 访问 控制 功能 的 网 页 之 外 ， 大 型 网 络 还 通常 包括 多 个 操作 系统 。 计 算 机 运行 的 操作 
系统 包括 Linux, Windows, Mac OS 以 及 Solaris ， 大 型 主机 还 可 能 运行 其 他 操作 系统 。 这 种 异 构 
性 意味 着 口令 验证 规则 的 不 同 。 总 结 : 


大 型 网 络 的 异 构 性 使 口令 协同 更 加 困难 。 系 统 不 但 会 采用 不 同 的 机 制 ， 还 会 定义 不 同 


的 口令 验证 规则 。 





口令 管理 之 所 以 困难 ， 其 另 一 个 原因 是 很 多 安全 策 栈 都 采用 强制 更 换 口 令 〈forced password 
rollover) 的 方法 防止 用 户 长 期 使 用 相同 的 口令 。 要 实现 这 种 转换 ， 网 络 管理 员 应 定期 为 用 户 设 
定 一 个 必须 更 改口 令 的 时 间 期 限 。 管 理 员 会 将 到 期 未 更 换 口 令 的 账户 设 为 无 效 。 对 于 无 法 自动 
进行 口令 转换 的 系统 ， 管 理 员 必须 手动 实现 口令 无 效 化 操作 。 然 而 ， 经 验 表 明 ， 强 制 更 换 口 令 可 
能 出 现 同 预期 相反 的 效果 : 转换 会 使 得 口令 处 于 不 安全 状态 。 原 因 在 于 如 果 用 户 必须 记 住 很 多 
口令 并 且 频 繁 更 换 口令 ,该 用 户 很 可 能 将 口令 写 在 纸 上 并 放 在 计算 机 旁边 。 总 结 : 


频繁 地 强制 更 换 口 令 会 导致 网 络 安全 性 降低 。 
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导致 口令 管理 困难 的 最 后 一 个 原因 是 : 口令 传输 的 风险 。 每 当 制 订 一 个 口令 策略 时 ， 管 理 员 
需要 明确 知道 口令 被 送 往 的 目标 地 址 以 及 传输 过 程 如 何 完 成 。 特 别 的 ， 仅 制订 严格 的 口令 规则 
但 口令 在 网 络 中 却 以 明文 (clear text) 传输 〈 即 未 加 密 ) 是 没有 任何 意义 的 。 然 而 ， 很 多 应 用 
程序 往往 直接 传输 未 加 密 的 口令 。 特 别 的 ， 获 取 电 子 邮 件 的 邮局 协议 (Post Office Protocol, 
POP) 就 曾 以 明文 传输 密码 。 总 结 : 


口令 管理 包括 口令 的 传输 ， 管 理 员 必 须 认 识 到 Web 和 电子 邮件 这 样 的 应 用 程序 都 会 直 


接 传输 未 加 密 的 口令 明文 。 





8. 16 无线 网 络 管理 


无 线 网 络 为 安全 性 管理 市 来 了 特殊 的 问题 。 特 别 的 ， 人 允许 多 台 计 算 机 共享 带宽 的 Wi-Fi 网络 
会 引发 潜在 的 安全 风险 。 经 Wi-Fi 网 络 传输 的 数据 帧 会 遭 到 窃听 一 一 第 三 方 能 够 获取 Wi-Fi 网 络 
中 传输 的 所 有 数据 帧 的 副本 ”。 一 种 称 为 有 线 等 效 保密 协议 (Wired Equivalent Privacy, WEP) 
的 加 蜜 技术 可 以 用 于 对 Wi-Fi 数据 帧 加 蜜 ， 但 是 如 果 时 间 充 足 就 可 以 破解 WEP。 因 此 ， 即 使 使 
用 WEP 加 密 ， 第 三 方 依然 可 以 获取 消息 副本 ， 经 破解 后 得 到 明文 。 这 使 得 很 多 管理 员 开 始 寻找 
可 用 于 Wi-Fi 网 络 的 其 他 加 密 技术 ”。 

Wi-Fi 网 络 中 另 一 个 安全 性 问题 是 由 于 使 用 长 度 为 32 字符 的 服务 区 标识 符 (Service Set 
IDentifier, SSID) 字符 串 引 发 的 。 每 个 SSID 都 用 来 标识 不 同 的 无 线 局 域 网 一 一 在 计算 机 同 Wi- 
Fi 网 络 接 入 点 关联 之 前 ， 计 算 机 的 无 线 接口 同 接 入 点 的 无 线 接口 都 需要 配置 相同 的 SSID。 然 而 ， 
单独 使 用 SSID 不 能 提高 安全 性 ， 因 为 第 三 方 仍然 能 够 监视 网 络 ， 获 取 数 据 帧 的 副本 并 提取 
SSID。 同 时 ,很 多 接 入 点 的 默认 配置 都 是 开放 的 : 接 人 点 会 广播 自己 的 SSID。 最 后 ， 管 理 员 必 
须 对 某 些 软件 的 微小 细节 进行 处 理 : 当 系 统 启动 时 ， 连 接 到 接 入 点 的 计算 机 会 再 次 使 用 相同 的 
SSID。 如 果 内 部 使 用 的 便携 式 计算 机 在 企业 外 部 启动 ， 就 会 威胁 到 企业 SSID 的 安全 。 要 点 : 


除了 可 能 被 窃听 之 外 ， 使 用 Wi-Fi 技术 的 无 线 网 络 会 拥有 一 个 SSID ， 这 看 上 去 更 加 安 
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8.17 网 络 安全 


网 络 管理 员 不 但 要 考虑 数据 安全 和 终端 用 户 系统 安全 ， 还 必须 为 网 络 本 身 制订 安全 策略 。 
首先 ,管理 员 要 保证 设备 和 介质 等 网 络 组 成 部 分 的 物理 安全 。 男 外 ， 网 络 安 全 还 包括 保护 网 络 元 
素 和 链 路 免 受 电子 攻击 。 例 如 ， 管 理 员 需要 考虑 如 何 保护 DNS 服务 器 的 安全 。 此 外 ， 还 需要 为 
网 络 管理 和 操作 人 员 建 立 相应 的 程序 和 指导 规则 。 

建立 人 员 的 指导 规则 和 检查 标准 尤其 重要 ， 原 因 在 于 很 多 安全 缺口 都 是 人 为 造成 的 ， 可 能 
由 于 错误 配置 网 络 元 素 或 恶意 行为 等 途径 造成 。 因 此 ， 有些 管 理 员 要 求 影响 网 络 关 键 任务 的 更 
改 都 要 由 团队 来 执行 ， 并且 团 队 中 至 少 要 有 一 个 成 员 负 责 检查 其 他 人 的 工作 以 保证 不 出 现任 何 
差错 。 要 点 : 


O 注意 ， 由 于 传输 可 以 穿越 建筑 物 的 边界 ， 因 此 窃听 可 能 发 生 在 物理 位 置 之 外 的 区 域 。 
O 虽然 已 经 提出 一 些 替 代 WEP 的 加 密 技术 ,但 是 没有 一 种 被 当成 标准 广泛 应 用 。 
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由 于 很 多 安全 问题 都 是 人 为 错误 造成 的 ， 因 此 ， 除 了 保护 网 络 本 身 的 技术 之 外 ， 管 理 


员 还 需要 采取 一 些 措施 检查 工作 人 员 对 网 络 进行 的 更 改 。 





8.18 基于 角色 的 访问 控制 


网 络 元 素 的 安全 保障 中 有 一 项 特殊 内 容 : 口令 管理 。 提 供 命 令 行 接口 的 网 络 元 素 通 常 要 求 
管理 员 在 进入 管理 命令 之 前 先 登 录 系 统 。 登 录 网 络 元 素 同 登 录 传 统计 算 机 相似 : 都 需要 身份 标 
识 和 口令 。 因 此 ， 管 理 员 必 须 对 多 个 网 络 元 素 的 身份 标识 和 口令 进行 分 配 和 控制 。 

与 标准 口令 体制 中 出 现 的 问题 相同 ， 多 个 网 络 元 素 之 间 的 协同 非常 重要 : 网 络 管理 员 是 对 
所 有 交换 机 和 路 由 奉 使 用 相同 的 口令 ， 还 是 需要 为 不 同 的 网 络 元 素 分 别 定 义 其 身份 标识 的 集合 ? 
显而易见 的 是 ， 所 有 网 络 元 末末 用 相同 的 登录 方式 最 为 简单 。 

与 分 配给 用 户 的 登录 方式 和 口令 不 同 ， 分 配给 网 络 元 素 的 登录 方式 会 引起 更 复杂 的 问题 : 
共享 (sharing) 。 在 共享 环境 中 ， 不同 网 络 元 素 会 设置 同一 个 登录 方式 和 口令 ， 而 整个 网 络 管理 
团队 共享 相同 的 登录 方式 。 

共享 相同 的 登录 方式 具有 两 个 优点 : 它 使 得 口令 管理 变 得 更 加 简单 ， 并 且 一 个 团队 的 成 员 
可 以 从 其 他 团队 的 成 员 那 里 获取 口令 。 然 而 ， 共 享 依然 具有 两 个 严重 的 缺陷 。 首 先 ， 共 享 账户 需 
要 最 大 的 权限 设置 一 一 当 只 有 一 个 管理 员 登 录 时 ， 它 必须 拥有 足够 的 权力 对 网 络 元 素 进行 控制 。 
其 次 ， 由 于 共 侍 的 登录 方式 不 能 提供 审计 (accountability) 功能 。 也 就 是 说 ， 如 果 某 个 网 络 元 素 
发 生 改变 ， 共 享 的 登录 方式 无 法 分 辩 是 哪个 成 员 做 出 的 修改 。 总 结 : 











同一 个 管理 团队 共享 登录 方式 和 口令 会 产生 很 多 安全 性 弱点 ， 因 为 所 有 成 员 都 拥有 最 


大 管理 权限 ， 同 时 也 无 法 为 团队 成 员 提 供 审计 功能 。 





如 何 组织 多 个 登录 方式 和 口令 以 适应 网 络 管理 ?” 最 理想 的 解决 方案 称 为 基于 角色 的 访问 控 
制 (Role-Based Access Control，RBAC) ， 这 种 方案 允许 为 不 同等 级 的 工作 分 配 不 同 的 权限 。 例 
如 ， 管 理 团 队 中 负责 路 由 的 成 员 具 有 和 更改 卫 路 由 和 配置 路 由 协议 的 权限 ， 但 是 他 却 没 有 更 改 
VLAN 分 配 的 权限 。 

从 表面 上 看 ，RBAC 系统 会 要 求 每 个 网 络 元 素 包 含 能 够 识别 用 户 权 限 的 复杂 的 用 户 接 口 软件 
以 实现 身份 认证 ， 并 只 允许 经 授权 的 特定 人 员 进 入 命令 行 界面 。 然 而 ,很 多 RBAC 系统 会 使 用 
中 心服 务 器 简化 授权 过 程 。 当 管理 员 登 录 某 个 网 络 元 素 时 ， 首 先 要 输入 自己 的 登录 ID MS, 
当 用 户 进 入 命令 行 界面 时 ， 网 络 元 素 会 将 命令 和 用 户 的 登录 信息 发 送 到 RBAC 服务 器 ， 并 请 求 
服务 鹃 进行 授权 ， 由 服务 器 决定 该 用 户 是 否 具有 权限 。 因 此 ， 即 使 网 络 元 素 不 包含 评估 RBAC 
的 复杂 软件 ，RBAC 依然 能 够 应 用 于 每 个 命令 行 之 内 。 要 点 : 


基于 角色 的 访问 控制 能 够 为 不 同 的 工作 等 级 分 配 不 同 的 管理 权限 。 即 使 网 络 元 素 不 具 


备 评估 权限 的 强大 用 户 接 口 ，RBAC 方案 依然 适用 。 





8. 19 ”审计 跟踪 和 安全 日 志 


第 5 草 曾 讨论 在 故障 检测 环境 中 的 事件 日 志 。 用 于 故障 检测 的 事件 日 志 包 含 对 故障 以 及 非 正 
常事 件 的 记录 。 故 障 日 志 旨 在 帮助 网 络 管理 员 诊断 可 能 引发 非 预期 事件 的 原因 ， 并 采取 措施 预 


防 该 事件 的 发 生 。 

用 于 安全 性 保护 的 事件 日 志 具 有 同上 述 日 志 相 似 的 功能 ， 并 可 以 同 其 他 类 型 的 日 志 络 合 使 
用 。 一 方面 ， 与 安全 相关 的 事件 日 志 能 够 帮助 管理 员 采 取 相 应 措施 防止 问题 进一步 恶化 。 另 一 方 
面 ， 当 问题 出 现时 ， 事 件 日 志 能 够 帮助 管理 员 对 引发 潜在 安全 呢 点 的 行为 进行 审计 。 


8.20 ZJE 


FAY Jes | ARRE “EE I] eK A A BE (key management)。 共 至 密 钥 的 加 密 技术 最 
容易 管理 : 管理 员 必 须 保证 密 钥 不 会 泄露 。 管 理 员 安全 地 存储 密 钥 的 副本 ， 制 订 一 系列 策略 控制 
哪些 人 能 够 获取 密 钥 ， 并 限制 可 以 对 密 钥 进行 的 操作 。 除 本 地 控制 之 外 ， 管 理 员 必须 将 密 钥 发 送 
给 需要 进行 安全 通信 的 各 方 。 通 常情 况 下 ， 密 钥 会 通过 带 外 方式 传输 ， 这 意味 着 管理 员 会 采用 电 
话 或 邮局 服务 传输 密 钥 。 

公 钥 加 密 体 制 中 的 密 钥 管 理 则 比较 复杂 。 管 理 员 必 须 建立 局 部 策略 对 组 织 的 密 钥 进行 访问 
控制 。 为 外 ， 管 理 员 还 要 把 组 织 的 公 钥 分 发 出 去 。 从 表面 上 看 ， 公 铀 分 发 可 以 采用 任意 机 制 
(例如 ， 通 过 电子 邮件 分 发 公 钥 )。 然 而 ， 如 果 接 收 者 不 能 确认 公 钥 的 正确 来 源 ， 这 个 公 钥 就 是 
不 可 信 的 。 因 此 ， 接 收 者 需要 对 收 到 的 公 钥 进行 认证 ， 并 确认 它 的 来 源 。 这 个 发 送 公 钥 的 过 程 称 
HEATA (key distribution )。 里 然 当 前 已 经 有 一 些 密 钥 分 发 方案 , 但 是 还 没有 制订 统一 的 标 
准 。 因 此 : 

















当 使 用 公 负 技术 时 ， 管 理 员 需要 选择 一 种 密 钥 分 发 策略 。 | 
8.21 总 结 


没有 绝对 安全 的 网 络 ， 安 全 是 一 个 不 断 评 佑 、 不 断 改 进 的 过 程 ， 它 涉及 资源 保护 、 访 问 控 
制 ， 以 及 保密 性 和 安全 性 的 保证 。 网 络 管理 员 需 要 制订 并 实现 相关 的 安全 策略 。 

管理 员 采 用 三 种 基本 技术 以 保障 网 络 的 安全 性 : 加 密 、 周 长 控制 和 内 容 控制 。 管 理 员 必须 选 
择 一 种 安全 染 构 在 周 长 安 全 和 资源 安全 之 间 实 现 一 种 平衡 。 

涉及 安全 性 的 管理 事务 包括 网 络 元 素 协 同 、 网 络 保 护 、 认 证 级 别 ( 数 据 包 级 别 、 消 息 级 别 
或 计算 机 级 别 ) 、 口 令 管理 、 无 线 网 络 管理 以 及 密 钥 管理 。 基 于 角色 的 访问 控制 机 制 能 够 针对 特 
定 的 管理 任务 对 网 络 管理 团队 的 成 员 进 行 授权 。 





-部 分 ， 现 有 网 络 管理 工具 和 平台 
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第 9 革 管理 工具 和 技术 


9.1 简介 


前 面 几 章 定 义 了 网 络 管理 中 遇 到 的 问题 ， 并 介绍 了 基本 背景 。 在 之 前 的 五 章 中 ， 每 一 章 都 对 
FCAPS 模型 中 的 一 个 网 络 管理 等 级 进行 了 详细 阐述 。 

本 章 将 开始 本 书 一 个 新 的 部 分 ， 这 一 部 分 将 重点 关注 管理 员 在 对 网 络 进行 规划 、 配 置 、 监 
控 、 控 制 和 诊断 时 所 使 用 的 工具 和 平台 。 本 章 将 介绍 不 同 工 具 的 特性 和 功能 ， 而 不 是 对 特定 商品 
进行 简单 罗列 。 后 续 几 章 将 深入 介绍 主要 技术 。 


9.2 近期 最 多 改变 原则 


网 络 管理 员 如 何 解决 问题 ?一 个 在 大 公司 任职 的 管理 员 发 现 ， 在 管理 团队 的 成 员 出 现 错误 
之 前 ， 网 络 会 正常 运转 。 因 此 ， 他 通过 发 现 近期 谁 对 网 络 做 出 最 多 改变 并 撤销 相应 改变 的 方式 解 
决 管理 问题 。 本 书 将 这 种 方式 称 为 近期 最 多 改变 原则 : 


发 现 管理 团队 中 哪个 成 员 近 期 对 网 络 做 出 最 多 改变 并 撤销 这 些 行 为 ， 很 多 管理 问题 就 


可 以 迎刃而解 。 





很 多 网 络 都 将 近期 最 多 改变 原则 作为 解决 网 络 问题 的 策略 。 对 于 小 型 网 络 来 说 ， 管 理 团 队 的 成 
员 之 间 联 系 紧密 ， 频 繁 接触 ， 因 此 很 容易 找到 近期 对 网 络 做 出 更 改 的 成 员 。 对 于 大 型 网 络 来 说 ， 几 
十 名 团队 成 员 管理 不 同 的 设备 ， 网 络 更 改 的 内 容 记录 和 时 间 记 录 就 是 追溯 问题 原因 的 首要 依据 。 
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传统 网 络 行业 关注 高 速 多 功能 设备 的 市 场 销售 。 因 此 ， 工 程 师 都 在 努力 研发 速度 更 快 、 功 能 
更 强 的 数据 包 交换 技术 ， 而 对 于 配置 、 监 控 和 控制 网 络 的 工具 和 机 制 的 开发 则 相对 滞后 。 

对 于 早期 的 因特网 ， 管 理 并 不 是 一 项 重要 的 内 容 ， 研 究 人 员 只 关注 协议 的 设计 和 理解 。 工 具 
的 作用 是 对 协议 进行 检测 和 评估 ， 设 计 工具 是 为 了 帮助 研究 ， 而 不 是 为 了 管理 大 型 网 络 。 我 们 看 
到 ， 很 多 早期 的 检测 工具 至 今 依 然 广泛 使 用 。 

直到 20 世纪 80 年 代 ， 因 特 网 发 展 迅速 ， 人 们 发 现 可 以 借助 工具 自动 管理 网 络 事务 。 研 究 人 
员 采 用 不 同 的 机 制 和 方法 进行 了 一 系列 实验 。 到 了 20 世纪 90 年 代 ， 开 始 有 商家 销售 网 络 管理 设 
备 ， 其 中 包括 以 图 形 界面 显示 网 络 状态 和 性 能 的 软件 。 本 章 的 后 几 节 将 进一步 解释 管理 工具 的 
发 展演 化 的 过 程 。 
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9.4 作为 应 用 程序 的 管理 工具 


早期 对 于 网 络 管理 的 争论 集中 在 管理 协议 在 协议 栈 中 所 处 的 位 置 。 构 建 ARPANET 的 工程 师 
认为 ， 管 理 协议 应 该 处 于 协议 栈 的 下 层 ， 他 们 设计 了 一 系列 在 第 二 层 执行 的 诊断 和 控制 协议 ， 并 
在 ARPANET 的 数据 包 交 换 过 程 中 为 控制 协议 分 配 一 定 的 优先 级 。 一 旦 ARPANET 出 现 了 误 操 
作 ， 管 理 员 会 使 用 下 层 控制 协议 对 出 现 的 问题 进行 诊断 。ARPANET 所 有 的 数据 包 交 换 都 是 相同 
的 ， 这 种 一 致 性 使 得 第 二 层 控制 协议 能 够 很 好 地 发 挥 作用 。 

网 际 互 连 技术 的 出 现 使 得 异 构 性 发 生 了 根本 改变 。 熟 悉 下 层 控 制 和 诊断 协议 的 工程 师 
认为 下 层 管理 协议 是 必要 的 ， 应 该 对 其 进行 标准 化 。 他 们 还 指出 ， 只 有 下 层 协 议 才 允许 管 
理 员 绕 开 常规 的 数据 转发 。 因 此 ， 即 使 数据 转发 过 程 受到 破坏 ,管理 数据 包 依 然 可 以 通过 
网 络 。 

同时 ,研究 人 员 也 在 开发 其 他 方式 。 他 们 认为 ， 由 于 互联 网 包含 了 多 种 物理 网 络 ， 而 绕 开 所 
有 网 络 硬 件 仅 对 第 二 层 协议 进行 标准 化 是 没有 意义 的 。 事 实 上， 经 观察 发 现 ， 只 有 通过 IP 地 址 
才能 建立 一 条 连接 管理 员 和 被 管 网 络 元 素 的 路 径 。 因 此 ， 这 些 研 究 人 员 提 倡 使 用 P 地 址 和 标准 
传输 层 协议 (BI TCP 和 UDP) 进行 网 络 事务 管理 。 

当 争 论 进 一 步 加 剧 的 时 候 ， 另 一 种 有 趣 的 思想 出 现 了 : 如 果 使 用 标准 传输 协议 ， 可 以 让 管理 
软件 像 应 用 程序 一 样 在 任意 计算 机 上 运行 。 因 此， 管理 员 不 需要 采用 特殊 计算 机 或 特殊 操作 系 
统 来 生成 并 处 理 第 二 层 协 议 的 特殊 数据 包 ， 这 只 需 使 用 普通 硬件 (例如 ，PC) 即 可 实现 。 经 过 
激烈 的 讨论 ， 上 层 应 用 方式 得 到 了 广泛 应 用 ， 


典型 的 网 络 管理 工具 包括 使 用 标准 传输 层 协 议 进 行 通信 的 应 用 程序 ， 并 可 以 在 以 PC 


为 代表 的 传统 计算 机 上 运行 。 





当然 ， 上 述 规则 也 存在 例外 。 例 如 ， 用 于 监控 和 调试 光 网 络 的 工具 通常 包含 能 够 产生 可 调 激 
光 的 专门 硬件 设备 。 然 而 ， 即 使 特殊 管理 工具 也 通常 由 两 部 分 组 成 : 执行 下 层 功 能 的 设备 和 用 于 
控制 下 层 设备 并 显示 结 采 的 廉价 商用 计算 机 。 


9.5 使 用 单独 网 络 进 行 管理 


早期 争论 还 涉及 如 何 构建 网 络 管理 系统 的 问题 。 争 论 的 焦点 在 于 使 用 单独 物理 网 络 进 行 流 
量 管理 的 重要 性 。 采 用 单独 物理 网 络 具有 以 下 两 个 优点: 

© 健壮 性 

o 性 能 

1) 健壮 性 : 将 管理 基础 设施 同 网 络 分 离 的 思想 最 早 由 电话 公司 提出 。 二 者 分 离 的 主要 依据 
出 于 健壮 性 的 考虑 : 如 果 使 用 同一 个 网 络 进 行 数据 信息 和 控制 命令 的 传输 ， 那 么 当 其 中 的 网 络 
元 素 出 现 故 障 导 致 拒绝 接收 数据 包 ， 管理 员 将 无 法 发 送 管理 他 令 。 因 此 ， 为 每 个 网 络 元 素 设 置 一 
条 单独 的 控制 路 径 意 味 着 管理 员 能 够 使 用 工具 进行 远程 控制 。 

2) 性 能 : 将 管理 基础 设施 同 网 络 分 离 的 另 一 个 原因 是 为 了 提高 网 络 性 能 。 正 如 我 们 所 见 ， 
监控 工具 只 有 保持 同 设备 的 连接 才能 提供 持续 的 更 新 服务 。 也 就 是 说 ， 从 设备 到 监控 工具 的 数 
据 包 流 需要 维持 平稳 状态 。 如 果 管 理 员 监 控 一 个 单独 的 设备 ， 额 外 的 流量 就 是 次 要 的 。 然 而 ， 在 
大 型 网 络 中 ， 管 理 员 需要 监控 成 百 上 千 个 设备 ， 此 时 监控 流量 就 变 得 非常 重要 。 因 此 ， 将 网 络 同 
管理 流量 分 离 能 够 提高 数据 网 络 的 整体 性 能 。 
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使 用 单独 网 络 的 最 大 缺点 在 于 开销 过 大 。 当 然 ， 如 果 所 有 网 络 元 素 位 置 相近 ， 并 且 每 个 网 络 元 
素 都 具有 一 个 独立 的 以 太 网 管理 接口 ， 那 么 创建 一 个 单独 的 管理 网 络 的 开销 较 低 。 安 装 了 额外 的 以 
太 网 交换 机 之 后 ， 每 个 网 络 元 素 的 管理 接口 都 要 连接 到 交换 机 上 ， 并 且 管 理 员工 作 站 《〈 即 运行 管理 
程序 的 计算 机 ) 也 需要 接 人 交换 机 。 然 而 ， 在 通常 情况 下 ， 如 果 网 络 元 素 按照 地 理 条 件 分 布 ， 并 且 
不 同 网 络 元 素 上 的 管理 接口 类 型 不 同 ， 此 时 构建 单独 的 网 络 开销 较 大 甚至 无 法 实现 。 

总 结 : 


虽然 使 用 单独 的 管理 网 络 能 够 提高 健壮 性 和 性 能 ， 但 是 大 多 数 站 点 会 使 用 同一 个 网 络 


进行 数据 和 管理 命令 的 传输 ， 因 为 这 种 方案 能 够 降低 开销 。 





9.6 管理 工具 的 类 型 


网 络 管理 工具 可 以 被 划分 为 以 下 十 二 种 基本 类 型 ， 
© 物理 层 测 试 

o 可 达 性 和 连通 性 

。 数据 包 分 析 

© 发 现 

© 设备 询问 

o 事件 监控 

o 性 能 监控 

。 流量 分 析 

© 路 由 和 流量 工程 

。 配置 

© 安全 保障 

© 网 络 规划 

后 续 各 节 会 对 每 个 类 型 进行 详细 解释 并 给 出 可 用 工具 功能 的 相应 实例 。 


9.7 物理 层 测 试 工具 


虽然 管理 员 很 少 对 有 线 网 络 的 物理 层 性 质 进行 测试 ,但 是 了 解 这 些 测试 工具 是 十 分 必要 的 ， 
因为 它 能 够 帮助 管理 员 快 速 诊断 出 现 的 问题 。 本 节 会 简要 介绍 以 下 三 种 工具 : 

o 载体 传感器 

© ya a ae 

© TORR BE Sy i E ee a 

1) 载体 传感器 : 载体 传 感 船 是 一 种 简单 的 设备 。 传 感 器 通常 包 括 一 个 LED， 当 出 现 载 体 的 
时 候 ，LED 就 会 发 光 。 因 此 ， 载 体 传感器 可 用 于 指示 一 个 有 线 连 接 是 否 正确 。 例 如 ， 大 多 数 具 
有 以 太 网 端口 的 设备 在 其 每 一 个 端口 中 都 包含 一 个 载体 传感器 。 

2) 时 域 反射 器 (Time-Domain Reflectometer, TDR): TDR 通常 是 一 个 小 型 的 手提 式 设备 ， 
它 能 通过 发 送 沿线 缆 传 输 的 信号 并 等 待 电子 反射 的 方式 测量 线 费 的 长 度 。 因 此 ， 如 果 一 条 铜 费 
被 切断 ，TDR 能 够 计算 本 地 到 切口 之 间 的 距离 。 

3) 无 线 强度 与 质量 检测 器 : 强度 与 质量 检测 器 是 一 种 非常 有 用 的 工具 ， 它 能 够 诊断 无 线 网 
络 中 的 干扰 问题 ， 在 计算 机 移动 性 更 强 的 Wi-Fi 网 络 中 更 加 适用 。 通 常情 况 下 ， 无 线 检测 器 可 以 
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按照 使 用 传统 网 络 接口 硬件 的 应 用 程序 的 方式 进行 操作 。 
无 线 检测 器 能 够 以 数字 形式 显示 测量 结果 (例如 ， 强 度 为 93% ， 质 量 为 89% ) ， 它 同样 可 以 
显示 可 视 化 效果 。 图 9-1 给 出 了 一 种 可 能 的 显示 结果 。 





信号 
HJ 


图 9-1 由 无 线 检测 工具 生成 的 二 维 显 示 图 例 。 图 中 的 信号 和 强度 位 于 “和 良好 ”的 区 域 中 


9.8 可 达 性 和 连通 性 工具 (ping 命令 ) 


测量 可 达 性 (reachability) 和 连通 性 〈connectivity) 的 工具 是 最 古老 和 应 用 最 广泛 的 管理 工 
具 之 一 。 这 类 工具 的 目的 非常 直接 : 证 实 网 络 中 的 两 点 之 间 是 否 能 够 相互 通信 。 尽 管 存在 可 以 测 
试 其 他 层 的 工具 ,但 通常 通过 网 络 的 第 三 层 发 送 IP 数据 报 并 确认 数据 报 的 到 达 来 测试 网 络 的 可 
达 性 。 

一 种 特殊 的 可 达 性 工具 在 这 类 工具 中 占据 着 主要 地 位 : ping 命令 应 用 程序 ” ping 命令 使 用 
了 因特网 控制 消息 协议 (Internet Control Message Protocol, ICMP) 中 的 响应 设备 。 当 管理 员 运 
行 ping 命令 ， 应 用 程序 就 生成 并 向 指定 目标 地 址 发 送 一 个 ICMP 响应 请 求 消息 。 当 响应 请 求 到 达 
目标 地 址 ，ICMP 软件 会 向 源 地 址 返回 一 个 ICMP 响应 应 答 。 因 此 ， 如 果 源 地 址 收 到 的 响应 应 答 
同 响应 请 求 匹 配 ， 就 认为 ping 命令 成 功 。 如 果 一 段 时 间 过 后 ， 源 地 址 没有 收 到 匹配 的 响应 应 答 ， 
则 认为 ping 命令 失败 。 

从 表面 上 看 ，ping 命令 可 能 过 于 简单 以 致 体现 不 出 其 使 用 价值 。 然 而 ，ping 命令 得 到 广泛 应 
用 源 于 以 下 五 个 原因 : 

e 方法 直观 且 便 于 应 用 。 

© 实现 端 - MME o 

o 软件 应 用 范围 广泛 。 

e 可 用 于 编写 脚本 。 

es。 具有 高 级 测试 选项 。 

1) 方法 直观 且 便 于 应 用 : ping 命令 非常 简单 ， 任 何人 不 需要 经 过 训练 就 能 够 掌握 其 基本 形 
式 并 加 以 使 用 。 同 时 ， 由 于 发 送 探测 信号 并 接收 响应 的 底层 方式 符合 人 类 的 理解 模式 ， 因 此 ping 
命令 非常 直观 。 

2) 实现 端 -~ 端 验证 : ping 命令 不 但 简单 直观 ， 还 能 对 网 络 进行 多 方面 的 测试 。 除 了 能 够 证 


© 术语 ping 由 Packet InterNet Groper 的 首 字母 缩写 而 来 。 


PIE FRLARRK 73 


实 源 计算 机 是 否 接 人 物理 网 络 之 外 ， 要 正确 使 用 ping 命令 还 需 合理 配置 域名 系统 ， 并 对 域名 服 
务 需 进行 合理 操作 。 更 重要 的 是 ，ping 命令 能 够 对 网 络 进行 端 - 端 (end-to-end) 验证 ， 即 ping 
命令 能 够 测试 源 计算 机 同 远程 目标 计算 机 之 间 的 可 达 性 。 成 功 意味 着 路 由 方式 合理 (双向 路 
由 ) ， 并 且 路 径 上 的 路 由 器 能 够 正确 转发 数据 包 。 此 外 ， 由 于 源 地 址 同 目标 地 址 可 能 是 用 户 计 算 
机 而 非 网 络 元 素 ， 因 此 ping 命令 能 够 从 用 户 的 角度 ”验证 可 达 性 。 

3) 软件 应 用 范围 广泛 : ping 命令 得 到 广泛 应 用 的 另 一 个 原因 在 于 它 的 普遍 存在 性 。 由 于 
ICMP 是 IP 的 必要 组 成 部 分 ， 因此， 每 一 台 接 入 因特网 的 计算 机 都 包含 能 够 响应 ping 命令 的 IC- 
MP 软件 。 此 外 ， 几 乎 所 有 计算 机 和 网 络 元 素 都 包含 实现 ping 功能 的 软件 。 因 此 ， 管 理 员 可 以 选 
择 任意 系统 分 别 作 为 源 地 址 和 目标 地 址 。 

4) 可 用 于 编写 脚本 ; 管理 大 型 站 点 时 ， 管 理 员 通常 采用 自动 生成 脚本 方式 。ping 命令 是 很 
多 脚本 的 基本 组 成 部 分 ， 长 期 以 来 一 直 应 用 在 脚本 中 。 实 际 上 ， 早 期 版 本 的 ping 命令 是 为 Unix 
操作 系统 开发 的 ， 这 也 是 最 早 应 用 于 脚本 中 的 管理 工具 之 一 。 

5) 具有 高 级 测试 选项 ， 尽管 ping 命令 非常 简单 ， 但 它 仍 然 具 有 一 些 高 级 特征 。ping 命令 能 
够 报告 发 送 探测 信号 和 接收 应 答 之 间 的 时 间 间 隔 ， 这 使 得 管理 员 能 够 评估 当前 的 网 络 性 能 。 另 
外 ， 大 多 数 版 本 的 ping 命令 具有 设置 数据 包 长 度 的 选项 。 管 理 员 可 以 利用 这 个 选项 确定 较 大 的 
数据 包 能 否 使 网 络 出 现 问题 。 另 一 个 选项 允许 ping 命令 发 送 平稳 的 请 求 数据 流 ， 通 常 每 秒 发 送 
一 个 请 求 。 数 据 包 流 人 允许 管理 员 在 一 段 时 间 内 对 网 络 进行 探测 并 接收 报告 ， 报 告 内 容 包 括 已 发 
送 数据 包 总 数 、 平 均 往 返 时 间 和 最 大 往返 时 间 以 及 丢 包 率 。 


总 结 > 





虽然 ping 命令 非常 简单 ， 但 它 仍然 是 应 用 最 广泛 的 测量 端 - 端 可 达 性 的 工具 。 除 了 可 


被 管理 员 直 接 调 用 之 外 ，ping 命令 还 能 够 用 于 脚本 自动 管理 。 





9.9 数据 包 分 析 工 具 


数据 包 分 析 器 (packet analyzer) ， 也 称 为 协议 分 析 器 (protocol analyzer) ， 是 一 种 能 够 捕获 
数据 包 、 显 示 头 信息 并 积累 统计 数据 (〈 例 如， 接收 到 的 IP 数据 报 的 数目 ) 的 工具 。 最 早 开 发 数 
据 包 分 析 器 的 目的 是 为 了 辅助 协议 实现 和 测试 ， 但 是 现在 网 络 管理 员 大 多 使 用 这 种 工具 诊断 网 
络 出 现 的 问题 或 者 理解 对 网 络 流量 产生 影响 的 网 络 协议 。 

现 有 的 数据 包 分 析 器 种 类 繁多 。 为 处 理 高 速 网 络 ， 数 据 包 分 析 器 需要 专门 的 硬件 。 因 此 ， 高 
速 分 析 器 通常 包括 独立 的 设备 。 然 而 ， 传 统计 算 机 在 低速 网 络 中 具有 足够 的 能 力 捕获 并 分 析 数 
据 包 。 因 此 ， 低 速 分 析 器 通常 由 运行 在 商用 计算 机 上 的 软件 构成 。 运 行 在 便携 式 计算 机 上 的 分 析 
器 应 用 更 加 方便 ， 因 为 便携 式 计算 机 的 移动 性 更 强 。 

典型 的 数据 包 分 析 器 具有 允许 管理 员 控 制 操 作 和 显示 结果 的 选项 。 例如， 管理 员 可 以 选择 
为 后 续 的 处 理 过 程 积累 统计 数据 或 捕获 数据 包 的 副本 。 一 旦 捕获 到 数据 包 ， 分 析 器 就 允许 管理 
员 对 数据 包 进 行 单 步调 试 并 浏览 每 个 数据 包 的 报头 和 内 容 。 一 些 分 析 器 允许 管理 员 指 定数 据 包 
过 滤器 ， 即 管理 员 可 以 指示 分 析 器 仅 捕获 报头 中 包含 某 些 特定 值 的 数据 包 ， 而 忽略 其 他 数据 包 。 
因此 ， 管 理 员 可 能 将 显示 结果 限定 于 : 特定 传输 协议 (例如 ，TCP)、 特 定 主机 (例如 ， 从 主机 


O 一 些 站 点 会 阻止 ping 流量 的 输入 ， 因 此 ，ping 命令 可 能 无 法 到 达 某 些 目标 地 址 〈 例 如 ， 任 意 一 台 Web IB 
FA) 。 
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XX 发 出 或 者 进入 主机 的 流量 )， 或 者 特定 应 用 程序 (例如 ，VolP 流量 ) 。 过 滤 对 诊断 网 络 出 现 
的 问题 非常 有 帮助 。 

当前 存在 很 多 数据 包 分 析 吾 的 商业 软件 和 共享 软件 。 其 中 一 些 同 操作 系统 (HIG, Solaris 
和 Linux) 捆绑 在 一 起 ， 其 他 则 作为 独立 设备 出 售 。 其 中 一 个 应 用 最 广泛 的 分 析 器 称 为 Ethereal， 
该 程序 可 以 从 以 下 地 址 获得 : 


http: //www. ethereal. com/ 

Ethereal 广泛 流行 的 原因 在 于 它 的 各 个 版 本 都 能 在 多 个 平台 上 运行 ， 包括 Windows 和 
Linux, Ethereal 使 用 传统 网 络 接口 硬件 ， 但 它 改变 了 某 些 硬 件 配置 使 得 硬件 接口 能 够 接 
收 所 有 数据 包 而 不 仅仅 是 目标 地 址 为 本 机 的 数据 包 。 因 此 ， 如 果 和 运行 Ethereal 的 计算 机 
接 入 网 络 集 线 器 或 具有 无 线 局 域 网 接口 ， 那么 Ethereal 能 够 捕获 在 网 络 中 传输 的 所 有 数 
据 包 。 


总 结 : 









Ethereal 是 一 个 开源 的 应 用 程序 ， 它 是 应 用 最 广泛 的 数据 包 分 析 器 之 一 。Ethereal 的 各 
个 版 本 适用 于 多 种 操作 系统 平台 ,包括 Windows 和 Linux, 








有 趣 的 是 ，Ethereal 在 许可 证 中 允许 用 户 对 程序 进行 修改 并 添加 自己 需要 的 功能 。 当 然 ， 这 
种 修改 需要 大 量 编程 专业 知识 ， 这 远 远 超过 了 大 多 数 网 络 管理 员 的 能 力 范围 。 然 而 ， 拥 有 编程 专 
家 的 站 点 能 根据 特殊 需求 定制 Ethereal 软件 。 


9.10 ”发现 工具 


顾名思义 ,使 用 发 现 工具 能 够 对 网 络 进行 学 习 和 了 解 。 发 现 工具 主要 分 为 以 下 两 类 : 

o 路 由 发 现 工具 。 

e 拓扑 发 现 工具 。 

1) 路 由 发 现 : 本 章 曾 介绍 过 ， 管 理 员 使 用 ping 命令 测试 端 - 端 可 达 性 。 然 而 ， 如 果 ping 命 
令 失败 ， 管 理 员 无 法 获知 出 现 问题 的 具体 位 置 。 故 障 出 现 的 位 置 可 能 靠近 源 端 计算 机 ， 也 可 能 靠 
近 目 的 端 计算 机 ， 还 可 能 在 二 者 之 间 的 任意 位 置 。 因 此 ， 要 调试 可 达 性 问题 ， 管 理 员 必须 找到 从 
源 地 址 到 目标 地 址 的 传输 路 径 。 

当然 ， 管 理 员 可 以 通过 人 工 检查 路 径 中 每 个 网 络 元 素 IP 路 由 表 的 方式 获取 路 由 。 不 过 ， 人 
工 过 程 既 耗费 时 间 又 容易 出 错 。 因 此 ， 大 多 数 管理 员 会 使 用 路 由 发 现 工具 自动 追踪 路 径 。 典 型 的 
路 由 发 现 工具 是 一 种 运行 在 主机 或 路 由 器 上 的 应 用 程序 ， 它 会 采用 主动 探测 方式 发 现 一 条 到 特 
定 目 标 地 址 的 路 径 。 

其 中 一 种 应 用 最 广泛 的 路 由 发 现 工具 被 称 为 traceroute， 它 是 一 个 应 用 程序 ， 使 用 一 系列 主 
动 探测 和 连续 的 多 跳 步 数 查 找 并 列 出 从 源 地 址 到 目标 地 址 路 径 上 的 所 有 路 由 器 。 虽 然 traceroute 
最 初 是 为 Unix 系统 而 设计 ， 但 是 当前 已 经 存在 能 够 在 多 数 操作 系统 上 运行 的 版 本 。 例 如 ，tracert 
命令 就 能 够 在 Windows 操作 系统 中 使 用 。traceroute 软件 可 以 从 以 下 地 址 获取 : 


http: //traceroute. org/ 


O Aha Aah sey, #6 ISP 在 配置 路 由 电器 时 会 忽略 traceroute 的 探测 。 因 此 ， 对 于 一 条 路 径 中 某 些 路 由 
Hae Haut traceroute 可 能 无 法 获取 。 
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以 traceroute 应 用 程序 为 例 ， 路 由 发 现 工具 能 够 生成 从 源 地 址 到 目标 地 址 路 径 上 所 有 网 


络 元 素 的 列表 。 








2) 拓扑 发 现 : Internet 技术 的 发 展 使 得 网 络 易于 扩展 ， 这 就 造成 了 一 个 值得 关注 的 管理 问 
题 。 例 如 ， 考 虑 一 个 要 为 每 个 办 公 室 提供 以 太 网 连接 的 小 型 企业 。 如 果 用 户 通过 廉价 的 集线器 接 
人 以 太 网 ， 那 么 还 可 以 连接 额外 的 计算 机 和 打印 机 。 对 于 大 型 企业 来 说 ， 情 况 则 更 加 糟糕 ， 由 于 
IT 员工 机 构 规 模 较 大 ， 并 且 网 络 包 含 多 个 子 网 ， 因 此 对 网 络 做 出 的 添加 或 修改 如 果 没 有 书面 记 
录 则 很 容易 被 忽视 。 

拓扑 发 现 工具 (topology discovery tool) 能 帮助 管理 员 了 解 企 业 网 络 中 未 经 书面 记录 的 部 分 。 
拓扑 发 现 工具 目 动 执行 ， 不 需要 管理 员 输 入 对 于 网 络 的 描述 。 同 时 ， 拓 扑 发 现 工具 通过 发 送 探测 数 
据 包 执行 发 现 过 程 ， 数 据 包 的 目标 地 址 通常 是 子 网 网 段 内 所 有 可 能 的 地 址 ” 。 一 旦 收集 到 回复 信息 ， 
发 现 工 具 会 对 每 个 给 出 响应 的 设备 做 出 进一步 探测 ， 以 确定 该 设备 是 主机 还 是 路 由 器 。 

拓扑 发 现 工具 会 采用 多 种 输出 格式 。 在 最 简单 的 情况 下 ， 发 现 工 具 仅 会 列 出 给 定子 网 内 正 
在 使 用 的 主机 IP 地址 。 有 些 发 现 工 具 会 绘制 图 形 以 表示 网 络 ， 用 方 框 代表 网 络 元 素 ， 用 直线 代 
表 网 络 元 素 同 子 网 之 间 的 连接 。 包 含 很 多 互 连 结构 的 网 络 图 可 能 过 于 复杂 而 不 便于 阅读 ， 因 此 ， 
具有 图 形 显示 功能 的 工具 通常 支持 管理 员 对 某 个 子 网 进行 放大 。 要 点 : 





图 形 输 出 方式 适合 显示 小 型 网 络 的 拓扑 ， 而 对 于 大 型 网 络 来 说 ， 如 果 管 理 员 选择 单独 


显示 菜 个 子 网 ， 则 会 获得 更 好 的 效果 。 





9.11 设备 询问 接口 和 工具 


管理 员 如 何 获取 给 定 网 络 元 素 的 状态 ?他 可 以 使 用 以 下 三 种 基本 接口 实现 : 

e 命令 行 接口 

e Web 接口 

o 可 编程 接口 

1) 命令 行 接口 (CLI) : 大 多 数 网 络 都 支持 命令 行 接口 。CLI 允许 管理 员 检 查 (或 更 改 ) 管 
理 数据 。 例 如 ， 管 理 员 可 以 使 用 CLI 来 查询 特定 接口 的 打开 或 关闭 ， 或 使 用 CLI 来 查询 分 配给 
ax Pe AY IP 地址。 由 于 CLI 根据 人 类 习惯 而 设计 ， 因 此 通常 不 便于 程序 直接 使 用 。 

2) Web 接口 : 一 些 网 络 元 素 会 采用 Web 接口 。 也 就 是 说 ， 网 络 元 素 运行 Web 服务 器 ， 而 
管理 员 能 通过 浏览 器 连接 网 络 元 素 并 进行 查询 。Web 接口 要 求 管 理 员 计算 机 同 网 络 元 素 之 间 实 
现 连通 ， 这 使 得 Web 接口 比 CLI 更 不 便于 应 用 程序 直接 使 用 。 

3) 可 编程 接口 : 同 CLI BK Web 接口 不 同 ， 可 编程 接口 不 能 直接 使 用 。 相 反 ， 操 作 人 员 运 行 
一 种 工具 实现 同 网 络 元 素 之 间 的 通信 ， 这 种 工具 通常 是 一 个 应 用 程序 。 这 种 工具 向 网 络 元 素 发 
送 请 求 ， 并 以 适合 人 类 感知 的 形式 显示 响应 结果 。 当 前 ， 应 用 最 普遍 的 可 编程 接口 通常 使 用 简单 
网 络 管理 协议 (Simple Network Management Protocol, SNMP°) ， 它 是 由 IETF 建立 的 一 种 非 商 业 
性 质 的 网 络 标准 。 除 此 之 外 ， 还 有 其 他 可 编程 接口 可 供 使 用 。 要 点 : 


O ”有些 发 现 工具 会 发 送 ICMP 响应 请 求 。Cisco 系统 已 经 定义 了 一 种 Cisco 发 现 协议 (CDP). 
O 本 书 下 一 章 将 会 详细 介绍 SNMP. 
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由 于 管理 员 使 用 的 工具 与 下 层 网 络 元 素 无 关 ， 因 此 可 编程 接口 允许 管理 员 选 择 一 种 非 


商业 性 质 的 工具 作为 同 网 络 元 素 交 互 的 机 制 。 





9. 12 事件 监控 工具 


网 络 管理 的 一 个 核心 内 容 是 关注 事件 监控 (event monitoring) 概念 。 这 里 的 事件 可 能 是 指 硬 
件 故障 ， 也 可 能 是 软件 报警 ， 或 者 网 络 元 素 状态 的 改变 ， 其 至 是 流量 负载 的 改变 。 管 理 员 会 选择 
要 监控 的 事件 集合 ， 并 配置 事件 监控 工具 (event monitoring tool) 对 选 定 事 件 进行 监控 。 也 就 是 
说 ， 这 种 工具 会 持续 监控 可 能 发 生 的 事件 ， 并 在 事件 发 生 时 通知 管理 员 (例如 ， 在 管理 员 的 屏 
幕 上 闪烁 红色 信和 号 ) 。 该 通知 就 向 管理 员 指示 了 问题 的 发 生 。 

事件 监控 工具 同 网 络 元 素 之 间 的 交互 可 以 遵循 以 下 两 种 方式 : 

。 轮 询 

e 异步 通知 

1) 轮 询 : 在 使 用 轮 询 (polling) 机 制 的 系统 中 ， 所 有 交互 都 由 事件 监控 工具 控制 。 监 控 工 
具 会 不 断 连接 网 络 元 素 ， 询 问 当 前 状态 ， 并 将 结果 显示 给 管理 员 。 管 理 员 可 以 通过 配置 监控 工具 
控制 轮 询 的 速率 。 

2) 异步 通知 : 在 使 用 异步 通知 (asynchronous notification) 机 制 的 系统 中 ， 需 要 配置 不 同 的 
网 络 元 素 对 特定 事件 进行 监控 ， 并 在 事件 发 生 时 向 监控 工具 发 送 报告 。 监 控 工 具 被 动 等 待 报告 
到 来 之 后 ， 才 将 结果 显示 给 管理 员 。 例 如 ， 下 一 章 要 介绍 的 SNMP 中 的 异步 通知 设备 〈 用 于 设 
备 询 问 的 非 商 业 标准 )。 总 结 : 


事件 监控 工具 可 以 采用 轮 询 或 异步 通知 机 制 收集 数据 。 当 一 个 重要 的 事件 发 生 后 ， 监 





控 工 具 会 以 更 改 显 示 结 果 的 方式 通知 管理 页 。 


9.13 触发 器 、 紧 急 级 别 和 粒度 


无 论 使 用 轮 询 方式 还 是 异步 通知 方式 收集 数据 ， 每 个 事件 都 会 被 分 配 到 一 个 触发 器 等 级 
(trigger level) ， 并 根据 等 级 向 管理 员 发 出 通告 。 例 如 ， 考 虑 一 个 载体 损耗 事件 。 如 果 某 个 连接 非 
常 重要 (例如 ， 某 个 组 织 同 Internet 的 连接 ) ， 管 理 员 会 将 事件 同 载体 检测 相 结合 ， 并 将 载体 损 
耗 的 触发 器 等 级 设 为 最 高 。 然 而 ， 并 不 是 所 有 的 载体 损耗 都 需要 相同 紧急 级 别 的 报告 。 如 果 将 某 
条 线 缆 用 于 测试 ， 并 且 每 隔 几 秘 该 线 缆 都 会 断 开 电源 连接 ,管理 员 会 选择 为 该 触发 器 的 载体 损 
耗 设 定 较 低 优先 级 。 

在 理想 的 事件 管理 系统 中 ， 应 用 软件 允许 管理 员 给 出 每 个 事件 的 精确 摘 述 和 通知 细节 。 
例如 ， 管 理 员 应 该 规定 ， 对 于 重要 的 连接 ， 系 统 必 须 通 过 闪烁 红色 图 标的 方式 立即 报告 载 
体 损耗 ; 而 对 于 其 他 连接 ， 载 体 损 耗 可 以 通过 不 内 烁 的 黄色 图 标的 方式 报告 ， 并 且 只 有 在 
线 绕 断 开 电 源 持续 2 ~3 分 钟 时 才 需 要 报告 。 因 此 ， 当 重要 线 缆 断 开 连 接 时 ， 监 控 工 具 会 立 
刻 向 管理 员 告 警 ， 但 是 非 重 要 线 纵 只 有 在 断 开 连接 超过 一 定时 间 后 ， 监 控 工具 才 会 通知 管 
Hno MH: 





在 理想 状态 下 ， 事 件 监控 软件 允许 管理 员 设 定 事件 发 生 的 触发 器 等 级 以 及 通告 细节 。 
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在 实践 中 ， 只 有 极 少数 监控 工具 才能 达到 上 述 理想 环境 的 要 求 。 相 反 ， 典 型 的 监控 软件 会 指 
定 一 系列 基本 紧急 级 别 (levels of urgency) ， 并 要 求 管理 员 为 每 个 事件 分 配 一 个 预先 定义 的 级 别 。 
每 个 级 别 具 有 相应 显示 方式 〈 例 如 ， 颜 色 ) 。 例 如 ， 图 9-2 列 出 了 一 系列 紧急 级 别 。 


需要 立即 关注 


需要 采取 补救 措施 
可 能 需要 采取 措施 
无 须 采 取 任 何 措施 





图 9-2 ”由 事件 监控 软件 提供 的 基本 紧急 级 别 。 管 理 员 需 要 为 每 个 事件 分 配 一 种 紧急 级 别 


有 些 监控 工具 还 为 事件 提供 逐步 升级 (escalation) 的 功能 一 一 一 个 事件 的 紧急 级 别 可 以 随 
着 时 间 的 推移 而 提高 。 例 如 ， 监 控 软 件 将 一 个 初次 发 生 的 事件 报告 为 “问题 ”， 如 果 这 个 问题 在 
十 分 钟 后 没有 解决 ， 软 件 会 将 其 自动 升级 为 “紧急 事件 ”。 

总 结 : 


为 帮助 管理 员 将 精力 集中 在 重要 事件 上 ， 监 控 工具 允许 管理 员 为 每 个 事件 分 配 不 同 的 





紧急 级 别 ， 并 在 显示 报告 时 使 用 不 同 颜色 来 区 分 不 同 紧急 级 别 。 


9. 14 事件、 紧急 级 别 和 流量 


除了 人 允许 管理 员 对 不 同事 件 的 紧急 级 别 进 行 分 类 之 外 ， 很 多 监控 工具 还 允许 管理 员 控制 紧 
急 级 别 的 显示 。 例 如 ， 管 理 员 可 以 选择 显示 所 有 事件 或 只 显示 紧急 事件 。 

在 采用 轮 询 机 制 的 系统 中 ， 限 制 事件 显示 通常 不 会 影响 事件 监控 工具 同 被 监控 网 络 之 
间 的 数据 传输 。 要 决定 显示 哪些 事件 ， 监 控 工 具 必须 连续 检查 所 有 可 能 事件 。 然 而 ， 在 采 
用 异步 通知 机 制 的 系统 中 ， 事 件 显 示 的 选择 结果 将 直接 影响 网 络 传输 ， 其 原因 在 于 在 网 络 
元 素 上 运行 的 软件 能 够 决定 需要 报告 的 事件 。 因 此 ， 当 管理 员 限 制 事 件 显示 的 时 候 ， 传 输 
流量 会 显著 下 降 ” 。 

在 异步 监控 系统 中 ， 传 输 流 量 在 某 种 程度 上 同 监 控 工 具 提 供 的 控制 粒度 相关 。 监 控 工 具 不 
允许 管理 员 控制 每 个 数据 项 的 异步 事件 ， 只 人 允许 管理 员 设 定 紧 急 级 别 〈 例 如 ， 红 色 、 黄 色 或 绿 
色 ) ， 这 意味 着 网 络 元 素 需 要 报告 所 有 达到 或 者 高 于 某 个 特定 级 别 的 所 有 事件 。 因 些 ， 在 获取 所 
有 接口 的 等 效 事件 之 前 ， 管 理 员 无 法 获得 某 个 接口 的 请 求 事件 。 

对 于 传输 流量 和 显示 ， 仅 具有 某 些 紧急 级 别 意味 着 一 个 设备 通常 会 出 现 两 种 极端 现象 : 该 
设备 可 能 过 于 闲置 (没有 报告 管理 员 需 要 的 信息 ) 或 者 过 于 忙碌 (管理 员 可 能 收 到 大 量 无 关 信 
A). BA: 


异步 监控 系统 产生 的 流量 同 管理 员 审 查 的 详细 程度 相关 。 如 果 监 控 工 具 将 控制 设备 的 


紧急 级 别 之 间 的 差异 设置 得 很 小 ， 那 么 管理 员 接 收 到 的 信息 量 将 出 现 过 多 或 者 过 少 两 
个 极端 。 





O ”即使 没有 事件 要 报告 ， 传 输 流 量 也 不 会 完全 终止 ， 监 控 工 具 会 持续 检查 以 保证 网 络 元 素 在 线 并 且 可 用 。 
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9.15 性 能 监控 工具 


性 能 监控 同事 件 监控 紧密 相关 。 与 事件 监控 工具 相似 ， 性 能 监控 工具 〈Pperformance monito- 
ring tool) 癌 网 络 元 素 进行 交互 并 将 获取 的 信息 显示 给 管理 员 。 性 能 监控 工具 同事 件 监 控 工 具 的 
为 一 个 相似 之 处 在 于 它 同 样 可 以 采用 轮 询 或 异步 通知 两 种 方式 。 

事件 监控 同性 能 监控 最 大 的 区 别 在 于 显示 类 型 不 同 。 在 事件 监控 中 ， 显 示 结 果 报告 的 是 离 
散 状 况 ， 例 如 连接 是 打开 还 是 关闭 。 而 在 性 能 监控 中 ， 显 示 结 果 报 告 的 是 连续 变化 的 数值 ， 例 如 
CPU 的 平均 负载 或 服务 器 的 响应 时 间 。 


事件 监控 会 关注 离散 的 数值 和 闽 值 ， 而 性 能 监控 能 够 向 管理 员 显 示 评 估 结 果 随 时 间 的 





持续 变化 量 。 





最 常用 的 性 能 测量 是 对 流量 的 评估 。 例 如 ， 图 9-3 列 出 了 性 能 监控 工具 报告 的 一 些 流量 测量 
内 容 。 


链 路 利用 率 容量 的 百分率 


数据 包 传输 率 每 秒 传输 的 数据 包 个 数 
数据 传输 这 每 秒 传输 的 位 数 
连接 速率 每 秒 建立 的 连接 数 





图 9-3 性 能 监控 工具 报告 的 流量 负载 相关 内 容 示 例 


正如 图 9-3 所 示 ， 人 性 能 监控 工具 会 报告 一 系列 流量 测量 指标 。 由 于 性 能 监控 工具 可 以 报告 数 
值 的 改变 ， 这 就 引发 了 一 个 问题 : 数据 该 如 何 显示 给 管理 员 ? 显示 性 能 数据 的 方式 通常 有 以 下 
两 种 ; 

© 时 间 级 数 图 

。 动态 直方 图 | 

1) 时 间 级 数 图 : 时 间 级 数 图 由 二 维 坐标 曲线 构成 ，x* 轴 代 表 时 间 ，y 轴 代 表 性 能 ， 它 所 显示 
的 是 扩展 的 时 间 周 期 (例如 ， 一 星期 )， 或 者 窗口 在 最 近 时 间 内 的 持续 变化 量 ( 例 如， 通常 显示 
最 近 5 分 钟 内 的 变化 结果 ) 。 时 间 级 数 图 的 主要 优点 是 能 使 管理 员 了 解 性 能 变化 的 趋势 一 -管理 
员 能 够 确切 得 知性 能 是 在 提升 还 是 在 下 降 。 

2) 动态 直方 图 : 时 间 级 数 图 包含 历史 数据 ， 而 动态 直方 图 仅 能 显示 当前 状态 。 也 就 是 说 ， 
显示 结果 由 矩形 立柱 集合 构成 ， 每 个 立柱 都 代表 一 个 测量 指标 ,立柱 的 高 度 代表 性 能 。 动 态 直方 
图 的 主要 优点 在 于 能 够 同时 最 示 多 个 测量 结果 一 一 管理 员 很 容易 判断 多 个 网 络 元 素 或 链 路 的 
性 能 。 

使 用 应 用 程序 生成 显示 结果 意味 着 管理 员 将 不 局 限于 使 用 一 种 格式 。 例 如 ， 管 理 员 最 初 可 
以 在 屏幕 上 显示 多 条 链 路 的 直方 图 。 如 果 某 条 链 路 的 性 能 表现 超过 了 预定 参数 的 范围 ， 管 理 员 
可 以 选择 这 条 链 路 ， 观 察 其 在 一 定时 间 内 的 时 间 级 数 图 。 同 样 的 ， 在 问题 发 生 时 ， 管 理 员 可 以 动 
态 调整 时 间 间 隔 放大 级 数 的 显示 结果 。 最 后 ， 当 问题 得 到 解决 后 ， 管 理 员 还 可 以 回 到 直方 图 状态 
继续 显示 多 个 测量 结果 。 | 

为 帮助 管理 员 评 佑 网 络 性 能 ， 显 示 结 果 中 可 以 标记 性 能 边界 来 描述 可 接受 的 性 能 和 不 可 接 
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受 的 性 能 。 可 以 作为 边界 的 内 容 包括 固定 范围 、 基 线 测 量 ， 或 者 前 N 个 时 间 单 元 的 极限 值 ( 例 
如 ， 前 一 星期 的 最 小 值 和 /或 最 大 值 ) 。 例 如 ， 图 9-4 给 出 了 以 50/80 规则 ”作为 边界 的 链 路 利用 
率直 方 图 。 





18 19 20 
图 9-4 以 直方 图 形式 显示 了 20 条 单独 链 路 的 当前 利用 率 。 边 界 值 能 帮助 
管理 员 了 解 哪 ( 些 ) 条 链 路 没有 超出 预定 的 操作 范围 


在 计算 机 的 显示 结果 中 ， 可 以 使 用 鲜艳 的 颜色 凸显 性 能 问题 。 例 如 ， 利 用 率 超过 50% 的 链 
路 可 以 标识 为 黄色 ， 利 用 率 超过 80% 的 链 路 可 以 标识 为 红色 。 要 点 : 


性 能 监控 工具 可 以 采用 级 数 图 显示 资源 性 能 随时 间 的 变化 ， 或 者 采用 直方 图 显示 多 个 


资源 的 性 能 。 带 有 边界 或 颜色 的 显示 结果 能 使 管理 员 更 方便 地 观察 网 络 性 能 是 否 超出 
预定 的 界限 。 








9.16 ”数据 流 分 析 工 具 


大 多 数 性 能 工具 支持 对 链 路 或 网 络 元 素 的 汇聚 流量 (aggregate traffic) 的 测量 。 例 如 ， 
性 能 工具 可 能 会 显示 在 给 定时 间 段 内 通过 某 条 链 路 的 数据 总 位 数 ， 还 可 能 报告 链 路 的 利用 
率 。 虽 然 这 些 工具 能 够 帮助 管理 员 评 估 负 载 总 量 ， 但 是 汇聚 性 能 的 报告 无 法 提供 传输 流量 
的 细节 。 

数据 流 分 析 工 具 (flow analysis tool) 能 通过 给 出 汇聚 流量 中 每 条 单独 数据 流 的 细节 来 辅助 
管理 员 操 作 。 本 章 将 单独 数据 流 (flow) 定义 为 两 个 端点 之 间 的 通信 量 ， 这 两 个 端点 通常 是 两 个 
应 用 程序 。 使 用 面向 连接 的 传输 协议 所 产生 的 数据 流 最 容易 理解 ， 因 为 该 数据 流 只 对 应 一 个 传 
输 层 连接 (BN TCP 连接 ) 。 在 无 连接 的 传输 过 程 中 ， 数 据 流通 常 定义 为 在 较 短 时 间 间 隔 内 两 个 应 
用 程序 之 间 传 输 的 数据 包 集合 。 

数据 流 分 析 包括 两 个 方面 : 

o 数据 采集 

o 分 析 所 得 数据 


© 50/80 规则 在 7. 18 节 曾 有 介绍 。 
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1) 数据 采集 : 对 于 以 中 速 或 慢 速 操作 的 网 络 来 说 ， 对 数据 流 进行 数据 采集 并 非 难事 。 例 
如 ， 经 配置 的 Linux 系统 可 以 截取 数据 包 并 保持 以 太 网 的 数据 流 记 录 。 然 而 ， 对 于 高 速 网 络 ， 捕 
获 数 据 流 数据 需要 用 到 专门 的 硬件 。 

第 11 章 将 描述 一 个 用 于 采集 数据 流 数 据 的 著名 机 制 ， 称 为 NetFlow。 这 种 机 制 由 Cisco Sys- 
tems 开发 ， 并 且 已 经 成 为 被 其 他 厂商 所 文 持 的 实际 标准 。 

2) 分 析 所 得 数据 : 分 析 数 据 流 数据 通常 离线 完成 。 也 就 是 说 ， 当 收集 到 足够 的 数据 流 信 息 
后 ， 数 据 就 被 传送 到 执行 分 析 功 能 的 应 用 程序 中 ， 程 序 会 将 分 析 结 果 显 示 给 管理 员 。 第 11 BH 
进一步 对 数据 流 分 析 进 行 解 释 。 

数据 流 分 析 之 所 以 重要 ， 主 要 有 两 个 原因 。 首 先 ， 分 析 有 助 于 管理 员 理 解 流 量 特征 〈 例 如 ， 
链 路 流量 是 对 应 于 几 个 传输 大 量 数据 的 长 期 连接 ， 还 是 对 应 于 多 个 传输 少量 数据 的 短期 连接 ) 。 
第 二 ， 分 析 有 助 于 管理 员 查 出 问题 的 根源 〈 例 如 ， 当 链 路 过 载 时 识别 应 承担 责任 的 数据 流 ) 。 至 
此 ， 我 们 就 能 理解 以 下 内 容 : 


数据 流 分 析 能 帮助 管理 员 检 查 网 络 中 给 定 节点 的 流量 组 成 。 数 据 流 分 析 还 能 识别 两 个 


端点 之 间 单 独 的 通信 数据 流 。 





9. 17 路 由 和 流量 工程 工具 


虽然 路 由 属于 一 种 目 动 管理 的 任务 ,但 仍然 存在 一 些 能 够 控制 路 由 方式 的 管理 工具 。 特 别 
的 ， 路 由 和 流量 工程 工具 (routing and traffic engineering tool) 允许 管理 员 指定 能 够 产生 特定 数 
据 流 的 路 由 方式 。 另 外 ， 这 类 工具 还 允许 管理 员 控 制 分 配给 特定 数据 流 的 资源 ， 并 为 数据 流 选择 
后 备 路 由 方式 ， 以 防止 主 路 由 发 生 故 障 。 第 12 章 会 详细 讨论 路 由 和 流量 管理 ， 并 解释 管理 员 如 
何 对 流量 进行 设计 规划 。 


9.18 配置 工具 


当前 存在 很 多 配置 工具 (configuration tool) 能 帮助 管理 员 配 置 网 络 元 素 集合 。 其 中 一 些 工 
具 专用 于 特定 供应 商 产 品 的 ， 另 一 些 是 针对 多 个 供应 商 产 品 的 组 件 而 设计 的 。 有 些 工具 能 为 管 
理 员 提 供 方便 的 接口 ， 这 些 接口 同 下 层 网 络 元 素 的 接口 相互 独立 。 有 些 工 具 仅 提供 远程 访问 功 
能 。 也 就 是 说 ， 管 理 员 虽然 能 够 远程 访问 网 络 元 素 ， 但 是 远程 访问 工具 依然 要 求 管理 员 精 确 地 输 
人 操作 命令 ， 就 如 同 在 网 络 元 素 控 制 台 上 输入 操作 命令 一 样 。 

配置 工具 能 使 用 多 个 接口 同 网 络 元 素 进行 交互 。 例 如 ， 一 些 工具 会 使 用 设备 的 命令 行 接 口 ， 
为 一 些 工具 会 采用 可 编程 接口 (例如 ，SNMP)。 而 在 下 层 设备 仪 能 提供 Web 接口 的 情况 下 ， 有 
些 工具 还 会 采用 Web 接口 。 也 就 是 说 ， 工 具 会 向 设备 发 送 HTML 格式 的 请 求 ， 并 接收 HTML 应 
答 ， 从 而 充当 了 Web 浏览 器 的 角色 。 然 后 ， 配 置 工具 会 检查 HIM 文档 并 提取 相关 信息 ， 这 个 
过 程 称 为 屏幕 提取 (screen scraping) 。 

由 于 命令 行 接口 根据 人 类 交互 习惯 而 设计 ， 所 以 它 在 应 FAR PHA, ARAM FIT 
长 ， 错 误 消 息 和 指令 以 文本 形式 表示 ， 不 带 有 特殊 的 标点 符号 或 区 别 于 其 他 数据 的 消息 含义 。 更 
重要 的 是 ,很 多 CLI 都 使 用 上 下 文 来 消除 重复 输入 的 数据 。 因 此 ， 当 管理 员 输 入 了 一 行 命令 ， 例 
如 ， 使 用 接口 2， 则 所 有 后 继 配置 命令 都 应 用 接口 2。 如 果 CLI 采用 上 下 文 独 立 的 命令 ,那么 它 
就 需要 一 种 机 制 使 得 管理 员 能 够 确定 上 下 文 。 例 如 ， 当 询问 上 下 文 时 ， 网 络 元 素 可 能 做 出 如 下 
Ma] yz : 
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你 当前 正在 配置 接口 2 
虽然 这 类 输出 易于 理解 ， 但 是 应 用 程序 必须 分 析 这 个 句子 并 提取 信息 。 
有 些 网 络 元 素 供应 商 试图 调和 操作 人 员 和 计算 机 程序 之 间 的 矛盾 。 例 如 ，Juniper 制作 的 路 
由 器 最 初 只 包含 可 编程 配置 接口 。 后 来 ， 为 便于 人 工 操作 ，Juniper 在 此 基础 上 添加 了 CLI 解释 
器 。 这 样 做 的 优点 在 于 自动 配置 工具 能 在 功能 无 损 的 状态 下 使 用 可 编程 接口 。 要 点 : 


网 络 元 素 提供 的 接口 能 决定 元 素 配 置 软件 的 应 用 是 否 简单 易 行 ， 还 能 决定 操作 人 员 可 





用 的 全 部 功能 是 否 能 在 软件 中 实现 。 


9. 19 ”安全 执行 工具 


现在 有 很 多 工具 都 能 帮助 管理 员 执 行 安全 策略 。 例 如 ， 有 些 工 具 能 统一 机 构 的 防火 墙 策 略 。 
这 类 工具 接受 策略 状态 和 防火 墙 设备 列表 ， 并 配置 每 个 设备 使 其 执行 既定 策略 。 

在 某 些 情况 下 ， 不 需要 采用 单独 的 安全 工具 来 实现 安全 操作 ， 因 为 安全 操作 往往 包含 在 其 
他 工具 中 。 人 例如， 建立 MPLS 隧道 的 流量 工程 工具 会 包含 加 密 选 项 ， 以 保证 数据 在 通道 中 安全 
传输 。 


9.20 网 络 规划 工具 


最 后 一 类 网 络 规划 工具 (network planning tool) 允许 管理 员 对 网 络 进行 规划 和 配置 。 现 有 的 
网 络 规划 工具 能 够 帮助 管理 员 规 划一 系列 网 络 功 能 ， 包 括 未 来 容量 (capacity) 需求 、 安 全 (se- 
curity) 架构 和 故障 恢复 (failover) 策略 。 

正如 本 书 曾 讨论 过 的 ， 容 量规 划 和 路 由 具有 内 在 联系 。 因 此 ， 容 量规 划 工 具 同 路 由 规划 工具 
紧密 相关 。 要 点 : 


虽然 各 个 供应 商 销 售 能 够 帮助 管理 员 规 划 网 络 容量 和 架构 的 工具 ， 但 是 规划 过 程 不 能 


不 考虑 路 由 和 流量 工程 带 来 的 影响 。 





9.21 管理 工具 集成 


前 面 几 节 介绍 了 一 系列 用 于 配置 网 络 元 素 、 事 件 监控 以 及 性 能 监控 的 工具 ， 即 我 们 重点 介 
绍 了 元 素 管理 系统 并 介绍 了 一 些 独立 的 工具 。 但 是 仍然 有 一 个 重要 问题 没有 得 到 答案 : 协同 系 
统 同 单独 管理 工具 之 间 应 该 结合 到 什么 程度 ? 

由 于 很 多 工具 之 间 有 着 紧密 的 联系 ， 因 此 工具 集成 具有 重要 的 意义 。 例 如 ， 当 某 个 事 
件 发 生 时 ， 管 理 员 需要 询问 网 络 元 素 、 检 查 路 由 ， 并 检查 某 条 链 路 中 的 流量 。 因 此 ， 将 多 
种 管理 工具 整合 并 形成 一 个 统一 的 管理 系统 具有 重大 的 现实 意义 。 除 了 整合 多 个 工具 之 外 ， 
统一 的 管理 系统 还 能 对 多 个 网 络 元 素 进 行 协同 配置 。 因 此 ， 统 一 的 系统 能 使 管理 员 同 时 配 
置 多 个 网 络 元 素 。 

标准 化 团体 和 供应 商 曾 试图 通过 提供 管理 多 个 网 络 元 素 的 方式 或 提供 访问 多 种 工具 的 
统一 接口 的 方式 统一 网 络 管理 工具 。 例 如 ，IETF 的 netconf 工作 组 提出 要 为 网 络 配置 制订 标 
准 协议 : 

http: //www. ietf. org/html. charters/ netconf- charter. html/ 
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免费 软件 基金 会 (Free Software Foundation) 已 经 开发 出 一 种 用 于 表述 配置 策略 的 高 级 语言 ， 称 
为 GNU 配置 引擎 (cfengine) : 

http: //ftp. gnu. org/gnu/cfengine/ 
另外 ， 有 些 产 品 能 够 提供 统一 的 管理 接口 。 例 如 ，Cisco Systems 还 提供 一 系列 关注 安全 性 的 管理 
产品 ， 称 为 CiscoWorks: 

http: //www. cisco. com/en/US/products/sw/cscowork/ ps4565/ index. html 
惠普 公司 提供 的 产品 名 为 OpenView; 
http: //www. managementsoftware. hp. com/ 
IBM 的 管理 工具 称 为 Tivoli: 
http: //www. ibm. com/software/tivoli/ 

冠 群 电脑 公司 (Computer Associates) 提供 了 多 个 网 络 管理 产品 : 

http: / /www3. ca. com/ products/ 


荣 群 电讯 公司 (OPNET Technologies) 也 提供 集成 产品 ， 例 如 IT Guru; 
http: //www. opnet. com/products/itguru/ 


除了 能 够 处 理 网 络 管 理 某 一 方面 事务 的 工具 之 外 ,很 多 供应 商 的 集成 工具 提供 统一 接 


口 ， 这 使 得 管理 员 能 够 处 理 多 个 网 络 管理 事务 。 





9.22 NOC 和 远程 监控 


正如 前 面 所 讨论 的 那样 ， 很 多 管理 工具 都 包括 在 传统 计算 机 上 运行 的 应 用 程序 。 对 于 小 型 
站 点 来 说 ， 所 有 工具 都 能 运行 在 同一 个 管理 计算 机 上 。 本 书 将 管理 员 运 行 管理 工具 的 计算 机 称 
为 管理 工作 站 (management workstation ) 。 大 型 站 点 会 使 用 多 个 管理 工作 站 ， 每 个 工作 站 都 有 独 
立 的 显示 方式 。 通 常 ， 大 型 站 点 会 将 管理 工作 站 安置 在 同一 个 物理 位 置 ， 这 个 物理 位 置 称 为 网 络 
运营 中 心 (Network Operation Center, NOC), 

将 多 个 管理 工作 站 安置 在 一 个 NOC 之 内 会 提供 很 多 便利 ， 因 为 管理 员 能 在 同一 个 物理 位 置 
监控 和 控制 整个 网 络 。 然 而 ， 集 中 式 管理 工作 站 影响 网 站 设计 结果 的 原因 主要 有 : 

© 远程 设备 连通 性 

。 管理 流量 

1) 远程 设备 连通 性 : 从 表面 上 看 ， 提 供 远 程 设备 的 连通 性 没有 实际 意义 一 一 毕竟 ， 管 理 数 
据 包 能 同 其 他 类 型 数据 包 一 样 轻 松 穿 过 NOC 同 任意 设备 之 间 的 网 络 ， 因 此 ，NOC 可 以 使 用 
SNMP 访问 任何 网 络 元 素 。 

然而 ， 使 用 SNMP 需要 三 个 前 提 。 首 先 ，SNMP 需要 网 络 提供 同 远程 设备 之 间 的 连通 性 和 路 
由 。 第 二 ，SNMP 要 求 每 个 被 管 设 备 包 含 一 个 SNMP 代理 ， 而 一 些小 型 的 、 专 门 的 设备 无 法 提供 
SNMP 访问 。 第 三 ，SNMP 必须 具有 同 命令 行 接口 相同 的 功能 〈 很 多 网 络 元 素 提供 的 CLI 选项 多 
于 SNMP 720). RA: 





即使 网 络 元 素 能 够 运行 SNMP 软件 ， 通 过 SNMP 获得 的 配置 功能 和 控制 功能 也 与 从 


CLI 获得 的 功能 有 所 不 同 。 
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2) 管理 流量 : 虽然 我 们 认为 网 络 管理 消耗 的 资源 很 少 ， 但 是 使 用 轮 询 机 制 或 异步 事件 通知 
机 制 会 持续 生成 后 台 流 量 。 特 别 的 ， 流 量 监控 过 程 产生 的 流量 同 网 络 总 流量 成 正比 ， 而 并 不 是 以 
固定 速率 生成 通知 。 因 此 ， 如 果 NOC 监控 多 条 链 路 和 多 个 网 络 元 素 ， 那 么 就 会 产生 巨大 的 流量 。 
如 果 某 企业 拥有 多 个 NOC (例如 ， 一 个 为 主 NOC， 一 个 为 备份 NOC) ， 并 且 每 个 NOC 都 监控 相 
同 的 链 路 和 网 络 元 素 集合 ， 这 种 情况 还 会 进一步 恶化 。 结 果 ， 在 网 络 中 传输 的 管理 数据 会 同 其 他 
数据 流量 相互 干扰 。 

有 一 种 流量 造成 的 问题 特别 突出 : ping 流量 。 人 工 运 行 ping 命令 并 不 会 产生 过 多 流量 。 然 
Tm, NOC 使 用 的 自动 配置 软件 会 对 一 系列 接口 持续 进行 ping 操作 。 在 很 多 情况 下 ， 管 理 员 会 配 
置 软件 检查 网 络 中 每 个 设备 的 每 个 接口 。 一 个 大 型 网 络 元 素 可 能 具有 数 百 个 接口 ， 这 意味 着 ping 
操作 将 会 产生 巨大 流量 。 要 点 : 


虽然 同 数据 流量 相 比 ， 人 们 可 能 会 认为 管理 流量 微不足道 ,但 实际 上 用 于 事件 检查 、 
流量 报告 或 连通 性 测试 的 自动 管理 工具 可 能 产生 巨大 的 流量 。 








9.23 远程 CLI 访问 


圭一 节 曾 提 到 ， 有 些 网 络 元 素 为 CLI 提供 的 操作 功能 比 SNMP 更 多 。 管 理 员 远程 访问 网 络 
元 素 CLI 的 方式 有 以 下 两 种 : 

© 远程 终归 软件 

© WEN TT 2 lat 

1) 远程 终端 软件 : 管理 员工 作 站 中 运行 的 软件 充当 客户 端的 角色 ， 它 在 网 络 元 素 上 同 远程 
终端 服务 器 进行 通信 。 实 质 上 ， 远 程 终端 软件 能 在 管理 员工 作 站 中 创建 一 个 窗口 ， 用 于 显示 同 远 
程 网 络 元 素 控制 台 的 连接 。 也 了 驶 是 说 ， 按 键 输入 内 容 会 被 发 送 到 网 络 元 素 中 ， 再 从 网 络 元 素 输 出 
到 显示 窗口 中 。 

有 两 类 远程 终 剖 技术 得 到 广泛 使 用 : 远程 登录 (telnet) MEIEN (ssh)， 这 两 
种 方式 都 使 用 TCP 进行 数据 传输 ( 即 软件 会 在 管理 员工 作 站 和 远程 网 络 元 素 之 间 构 建 TCP 
连接 ) 。 对 于 管理 员 来 说 ，telnet 和 ssh 都 能 提供 同 远 程 设 备 交 互 的 基本 服务 。 这 两 种 技术 的 
差异 在 于 各 上 自 提 供 的 安全 等 级 不 同 。telnet 方式 发 送 的 按键 信息 以 及 得 到 的 响应 都 以 明文 方 
式 传输 ， 而 ssh 在 传输 前 加 密 所 有 数据 。 因 此 ，ssh 能 够 防止 管理 员工 作 站 同 被 管 设备 之 间 
AY SS oT Be: 


能 够 远程 访问 网 络 元 


素 的 CLI, ssh 会 加 蜜 所 有 通信 信息 。 





2) 逆 串 行 复 用 器 : 虽然 远程 终端 能 提供 CLI 访问 ， 但 是 它 需 要 依靠 网 络 才 能 维持 管理 员 同 
被 管 实体 之 间 的 操作 路 径 。 采用 男 一 种 串 行 便 件 的 方式 能 够 避免 远程 访问 对 数据 网 络 的 依赖 。 也 
就 是 说 ,管理 员 运 行 串 行 线 绕 从 每 个 网 络 元 素 返 回 到 中 心 控制 点。 

在 操作 过 程 中 ， 管 理 员 不 会 使 用 ASCII 终端 同 给 定 串 行 线 缆 进行 交互 ， 而 会 采用 一 种 称 为 逆 
串 行 复 用 器 (inverse serial multiplexor) 的 装置 ， 并 使 用 远程 终端 软件 访问 复 用 器 。 图 9-5 是 该 
结构 的 示意 图 。 
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串 行 线路 










管理 员工 作 站 反 向 复 用 器 


网 络 元 素 


传统 网 络 ( 例 
如 ， 以 太 网 ) 


图 9-5 ”对 远程 网 络 元 素 控 制 台 提供 访问 的 逆 串 行 复 用 器 (mux) 示意 图 。 
管理 员工 作 站 和 反问 复 用 器 之 间 的 连接 上 会 使 用 远程 终端 软件 


9.24 ”管理 流量 的 远程 汇聚 


虽然 集中 式 NOC 能 为 网 络 管理 带 来 一 定 便利 ， 但 是 它 会 使 网 络 产生 巨大 的 流量 负载 。 随 着 
被 管 网 络 的 发 展 ，NOC 同 被 管 实体 之 间 的 管理 流量 不 断 增加 。 渐 渐 地 ，NOC 同 网 络 元 素 之 间 的 
通信 和 负载 将 达到 极限 。 

要 在 一 个 集中 位 置 管理 大 型 网 络 而 不 产生 非 正常 流量 ， 管 理 员 可 以 安装 一 系列 远程 汇聚 点 
(remote aggregation point) 。 每 个 汇聚 点 都 同 临近 的 网 络 元 素 进 行 交 互 以 获取 管理 数据 。 每 个 汇 
聚 点 都 会 过 滤 并 分 析 原 始 数据 ， 将 相关 信息 提取 成 摘要 并 发 送 到 NOC 中 。 这 样 ，NOC 同 远程 汇 
聚 点 之 间 的 信息 传输 总 量 就 远 远 小 于 NOC 直接 同 网 络 元 素 通信 而 产生 的 流量 。 图 9-6 给 出 了 这 
个 概念 的 示意 图 。 


从 临近 网 络 元 素 中 
收集 的 原始 数据 N 







管理 员工 作 站 


生成 摘要 后 将 信 
息 发 送 给 管理 员 






图 9-6 ”用 于 减少 管理 流量 的 汇聚 点 示意 图 。 汇 聚 点 会 从 临近 的 网 络 
元 素 中 收集 数据 并 将 生成 的 数据 摘要 发 送 到 NOC 中 的 管理 工作 站 


远程 汇聚 适用 于 多 种 管理 活动 。 例 如 ， 远 程 系统 能 够 接受 并 过 滤 蜡 步 通知 和 警报 〈 例 如 ， 
SNMP 陷阱 ) ， 并 决定 何 时 向 管理 员 预 警 。 同 样 的 ， 远 程 系统 还 可 以 收集 并 整理 从 多 个 系统 获得 
的 性 能 数据 。 当 采用 轮 询 机 制 时 ， 远 程 系统 能 够 在 本 地 处 理 轮 询 过 程 ， 而 不 需要 在 NOC 和 远程 
网 络 元 素 之 间 持 续 发 送 数据 。 无 论 在 邬 种 情况 下 ，NQOC 和 远程 网 络 元 素 之 间 发 送 的 数据 总 量 都 
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远程 汇聚 可 用 于 减少 在 NOC 和 远程 网 络 元 素 之 间 传 输 的 管理 数据 总 量 。 远 程 汇聚 系 


统 能 够 捕获 并 整理 管理 数据 ， 并 将 提取 的 摘要 发 送 给 管理 员 。 








9.25 其 他 工具 


本 章 曾 重点 介绍 了 管理 员 使 用 的 主流 管理 工具 ， 除 此 之 外 ， 还 存在 一 些 其 他 工具 ， 其 中 包括 
商业 产品 、 开 源 管理 平台 以 及 一 些 专门 工具 ， 每 种 工具 都 能 解决 网 络 管理 中 的 一 些小 问题 。 例 
如 ，Cisco Systems 推出 的 ISC 工具 能 用 于 VPN 配置 ，openNMS 项 目 创建 了 一 个 开源 的 管理 平 
台 ，dig 程序 用 于 域名 系统 的 研究 。 

很 多 研究 团体 和 开源 团体 使 用 的 管理 工具 和 原型 都 能 从 网 上 获取 。 例 如 ，Cricket、Cacti、 
ntop, OSSIM, FlowScan, RRDTool, DAGs, DShield, 、Honeynets、 俄 勒 交大 学 的 NETwork DOc- 
umentation 工具 、 威 斯 康 星 大 学 的 AANTS， 以 及 RANCID 等 ， 这 些 都 可 以 从 以 下 网 址 获得 : 

http: //www. shrubbery. net 
有 些 工 具 还 能 从 下 述 网 址 获得 : 
http: //www. caida. org/tools 
还 有 以 下 网 址 : 
slac. stanford. edu/xorg/nmtf 
最 后 ， 还 有 一 些 技术 能 为 管理 工具 提供 可 支持 的 系统 。 例 如 ， 人 免费 软件 基金 会 设计 的 Radius 系 
统 能 用 于 认证 。 


9.26 脚本 


虽然 上 述 内 容 提 到 对 目 动 接口 的 需求 , 但 是 本 章 重 点 关注 同 网 络 管理 员 进 行 交 互 的 工具 。 
第 13 章 将 介绍 允许 所 有 管理 工具 进行 调整 的 重要 思想 : 脚本 。 肢 本 允许 管理 员 上 自动 执行 重复 性 
任务 ， 并 调整 管理 环境 以 适应 企业 需求 。 


9.27 总 结 


当前 存在 多 种 管理 工具 ， 包 括 物 理 层 测试 工具 、 拓 扑 或 路 由 发 现 工 具 、 数 据 包 分 析 工 具 、 连 
通 性 测试 工具 、 网 络 元 素 询 问 和 配置 工具 、 事 件 或 性 能 监控 工具 、 安 全 性 处 理工 具 ， 以 及 网 络 容 
量规 划 工 具 。 工 具 和 网 络 元 素 之 间 的 接口 包括 命令 行 接口 、Web 接口 ,或 SNMP 这 样 的 可 编程 
接口 。 

集中 式 网 络 运营 中 心 (NOC) 的 优点 在 于 能 将 所 有 管理 行为 集中 在 单独 的 位 置 上 。 然 而 ， 
集中 式 NOC 的 缺点 在 于 将 所 有 管理 流量 集中 在 单独 的 节点 上 。 作 为 一 种 替代 NOC 的 方式 ， 远 程 
汇聚 能 够 大 大 减少 NOC 流量 。 


第 10 章 WANAE (SNMP) 


10.1 简介 


AS. 5 A A — BB op ah T AA E SR AS R a eB EB eT OF 
网 络 管理 的 工具 和 技术 ， 同 时 还 指出 很 多 管理 工具 都 包括 运行 在 管理 员工 作 站 上 的 应 用 
程序 。 

本 章 通过 介绍 广泛 应 用 的 技术 继续 讨论 现 有 网 络 管理 平台 。 本 章 不 会 给 出 具体 细节 和 消息 
格式 ， 而 是 关注 基本 范 型 和 层次 命名 空间 的 应 用 。 在 后 续 各 章 中 ， 我 们 会 发 现 上 述 两 个 概念 是 创 
建 更 强大 网 络 管理 系统 的 基本 原则 。 | 


10.2 远程 管理 范 型 和 应 用 


到 20 世纪 80 年 代 后 期 ， 很 多 组 织 开 始 研 究 网 络 管理 。 其 中 大 多 数 工 作 都 集中 在 元 素 
管理 系统 中 。 在 早期 工作 中 产生 了 一 种 思想 ， 称 为 远程 管理 范 型 (remote management para- 
digm) ， 这 个 范 型 描述 的 内 容 是 ， 运 行 在 管理 员工 作 站 的 软件 允许 管理 员 在 没有 物理 接触 的 
情况 下 同一 系列 网 络 元 素 进 行 交 互 。 也 就 是 说 ， 管 理 软件 可 以 对 任意 网 络 元 素 或 服务 进行 
配置 、 查 询 或 控制 。 | 

当 远 程 管理 范 型 成 为 一 个 可 接受 的 目标 时 ， 一 个 问题 也 随 之 而 来 : A Seal? 正如 
第 9 章 所 述 ， 一 种 实现 方式 是 使 用 逆 串 行 复 用 器 访问 网 络 元 素 的 串 行 控制 台 连 接 。 研 究 人 员 还 考 
虑 了 一 种 更 为 普遍 的 方式 : 使 用 运行 在 TCP/IP 之 上 的 应 用 层 协议 实现 管理 应 用 程序 同 网 络 元 素 
的 交互 。 

使 用 应 用 层 协议 具有 三 个 显著 的 优点 。 首 先 ， 不 需要 额外 添加 线 缆 和 设备 。 第 二 ，TCPZTP 
提供 的 统一 连接 使 得 管理 员 能 够 访问 任意 网 络 元 素 。 第 三 ， 应 用 层 协 议 比 通过 串 行 线路 操作 的 
命令 行 接 口 提供 的 功能 更 加 复 森 ,传输 的 数据 量 更 大 。 总 结 : 





构建 一 个 运行 在 TCP/IP 之 上 的 网 络 元 素 管理 系统 能 够 降低 开销 ， 统 一 网 络 访问 方式 ， 





并 具有 较 传统 CLI 更 加 复杂 的 功能 。 


10.3 管理 功能 和 协议 定义 
将 应 用 层 协议 用 于 网 络 元 素 管理 的 原则 只 提供 了 整体 软件 架构 ， 但 是 没有 规定 管理 应 用 程 


序 同 被 管 元 素 之 间 交 互 的 具体 过 程 。 在 编制 软件 之 前 ， 必 须 精确 定义 消息 格式 ， 详 细 说 明 消息 交 
换 规则 ， 还 要 为 消息 中 的 每 -一 项 分 配 具 体 含义 。 概 要 : 





在 构建 网 络 元 素 管理 软件 之 前 ， 必 须 指定 协议 的 所 有 细节 ， 其 中 包括 待 交换 消息 的 精 
确 语法 和 语义 。 








设计 管理 协议 面临 的 主要 问题 是 协议 中 包含 的 功能 。 前 面 曾 介绍 过 ， 管 理 员 需 要 对 网 络 元 
素 进 行 配置 、 查 询 和 监控 。 慷 外 ， 管 理 员 还 需要 执行 管理 事务 ， 例 如 ， 安 装 新 版 本 软件 、 复 位 硬 
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件 设 备 ， 或 者 重新 司 动 网 络 元 素 。 因 此 ， 管 理 协议 早期 工作 的 重点 是 对 执行 所 有 管理 任务 的 操作 
进行 编 评 。 

然而 ， 随 看 新 技术 的 不 断 涌现 ， 管 理 功 能 也 在 不 断 的 变化 。 例 如 ， 当 防火 墙 出 现 之 后 ,管理 
员 需 要 创建 并 检查 防火 墙 规则 。 同 样 的 ， 当 Wi-Fi 网 络 出现 后 ,管理 员 需 要 控制 每 个 接 入 点 的 
SSID。 对 于 研究 者 来 说 ， 下 述 内 容 更 加 明显 : 


| 新 技术 不 断 带 来 新 的 需求 ， 因 此 ， 不 可 能 创建 一 个 详尽 的 元 素 管 理 操作 列表 。 | 


10.4 读 与 范 型 


到 20 世纪 80 年 代 中 期 ， 元 素 管理 协议 研究 领域 出 现 了 一 个 有 趣 的 提议 : 协议 可 以 设 
计 成 可 扩展 模式 ， 而 无 须 在 协议 中 创建 所 有 可能 操作 的 固定 列表 。 同 时 ， 为 避免 出 现 多 个 
不 莱 容 版 本 ， 协 议 不 允许 添加 额外 操作 。 协 议会 保持 消息 格式 固定 ， 并 限制 语义 的 扩展 。 
也 就 是 说 ,协议 中 管理 员工 作 站 和 网 络 元 素 之 间 通 信和 的 部 分 保持 固定 , 但 是 允许 消息 对 任 
意 操 作 编 码 。 

构建 可 扩展 管理 协议 的 一 种 特殊 方法 得 到 了 普遍 接受 : 将 协议 的 范围 限制 在 两 个 基本 命令 
之 内 ， 并 通过 参数 的 选择 设 定 所 有 细节 。 特 别 的 ， 研 究 人 员 还 提出 ， 协 议 需 要 从 管理 员工 作 站 的 
角度 定义 ， 同 时 这 两 种 操作 要 分 别 对 应 读 (read) 和 写 〈write) 〈 即 从 被 管 实体 向 管理 员工 作 站 
发 送 数据 ， 或 者 从 管理 员工 作 站 向 被 管 实体 发 送 数据 ) 。 这 个 思想 就 称 为 读 写 范 型 (read- write 
paradigm ) 。 

读 写 范 型 的 一 个 典型 例子 是 设备 查询 和 配置 。 要 查询 一 个 设备 ， 管 理 员工 作 站 会 向 
设备 发 送 一 个 市 有 “ 读 ” 操 作 的 消息 。 除 了 读 操作 之 外 ， 消 息 中 还 包含 要 查询 数据 项 的 
精确 信息 。 要 改变 一 个 设备 的 配置 ， 管 理工 作 站 会 向 设备 发 送 一 个 “ 写 ” 操 作 请 求 ， 消 
恩 中 还 包含 要 更 改 的 数据 项 和 更 改 后 的 新 值 。 因 此 ， 为 处 理 请 求 操 作 ， 协 议 只 需要 两 种 
消息 格式 : 








read (ItemToBeRead ) 
write (ItemToBeChanged, NewValue ) 
当然 ， 协 议 还 要 包含 将 响应 信息 返回 到 管理 员工 作 站 的 消息 类 型 。 然 而 ， 操 作 集 合 依然 保持 
很 小 的 规模 。 总 结 : 





使 用 读 写 范 型 的 协议 可 以 通过 设 定 新 参数 的 方式 进行 扩展 ， 其 操作 集合 固定 并 保持 较 
小 的 规模 。 












10.5 任意 操作 和 虚拟 数据 项 


虽然 读 写 范 型 能 够 很 好 地 用 于 设备 查询 和 配置 ,但 是 它 并 非 适 用 于 任意 操作 。 例 如 ， 对 于 重 
新 启动 设备 的 操作 ， 传 统管 理 协议 中 会 明确 规定 重新 启动 (reboot) 操作 一 一 当 管 理 员 向 设备 发 
送 一 个 指定 重新 局 动 操作 的 消息 后 ,设备 自身 就 会 重新 启动 。 

如 果 管 理 协议 遵循 读 与 范 型 ,那么 包括 重新 启动 在 内 的 所 有 操作 必须 转换 成 读 操 作 或 者 写 
操作 。 这 种 方式 简单 直接 : 定义 一 个 全 新 的 虚拟 (virtual) 数据 项 。 协 议 设计 者 构想 一 个 新 的 数 
据 项 ( 即 同 网 络 元 素 中 存储 的 数值 没有 对 应 关系 的 数据 项 ) ， 为 该 数据 项 选择 一 个 名 称 ， 并 为 这 
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个 名 称 设 定 一 个 解释 规则 。 两 端的 软件 还 需要 在 名 称 识别 和 执行 特定 行为 方面 达成 一 致 。 例 如 ， 
协议 设计 者 可 以 选择 “重新 启动 ”作为 重新 启动 操作 的 名 称 ， 并 且 规 定 当 网 络 元 素 收 到 一 个 包 
含 数据 项 的 值 为 “重新 启动 ”的 消息 时 ， 该 网 络 元 素 必 须 同 意 对 目 己 进行 重新 启动 。 因 此 ， 要 
重新 启动 一 个 设备 ， 管 理 员 会 发 送 如 下 消息 : 
write ( Reboot, 1) 
要 想 将 更 多 管理 操作 转换 成 读 写 范 型 ， 协 议 设 计 者 只 需 设 定 更 多 的 虚拟 数据 项 ， 并 为 每 个 
数据 项 分 配 不 同 的 语义 。 总 结 : 


任意 操作 都 能 通过 创建 虚拟 数据 项 并 为 每 个 数据 项 分 配 语义 的 方式 转换 为 读 写 范 型 。 





当 考 虑 网 络 管理 架构 时 ， 通 过 本 书 第 3 章 的 介绍 ， 读 者 可 以 充分 了 解 虚拟 数据 项 的 重要 性 。 
10.6 网 络 管理 协议 标准 


在 20 世纪 80 年 代 后 期 ， 一 些 组 织 开 始 遵循 读 写 范 型 研究 管理 协 以 。 最 终 ， 开 放 式 系统 互 连 
(OSI) 制订 了 一 对 相互 关联 的 标准 ， 称 为 通用 管理 信息 协议 /通用 管理 信息 服务 (CMIP/ 
CMIS), IETF 制订 了 简单 网 络 管理 协议 (SNMP). SNMP 是 一 种 被 商家 广泛 采纳 的 协议 ， 是 一 
种 事实 上 的 行业 标准 。 


10.7 SNMP 的 范围 和 范 型 


简单 地 说 ， 管 理 员 使 用 术语 SNMP 来 指 代 SNMP 技术 的 全 部 内 容 ,包括 实现 SNMP 的 软件 
和 协议 。 准 确 地 说 ，SNMP 技术 主要 包含 以 下 五 个 部 分 : 

o 消息 格式 和 消 明 交换 

e。 消息 编码 

© 能 够 被 访问 的 数据 项 的 规定 

e 在 网 络 元 素 中 运行 的 软件 

e 在 管理 员工 作 站 中 运行 的 软件 

1) 消息 格式 和 消息 交换 : 技术 是 围绕 SNMP 协议 而 建立 的 。 协 议 中 详细 说 明 管 理 员 
工作 站 和 被 管 实体 之 间 的 通信 过 程 ， 它 给 出 消息 格式 的 细节 和 消息 交换 的 规则 。SNMP 
协议 不 包含 大 规模 的 命令 集合 ， 而 协议 本 身 也 不 会 频繁 发 生变 化 。 相 反 的 ，SNMP 遵循 
读 写 范 型 ， 这 意味 着 协议 的 基本 内 容 固定 不 变 ， 而 当 新 的 功能 需求 出 现时 ， 就 会 创建 新 
的 数据 项 。 

2) 消息 编码 : 除了 消息 格式 之 外 ，SNMP 技术 还 包含 基本 编码 规则 (Basic Encoding Rule, 
BER) #4. BER 详细 说 明了 在 网 络 中 传输 的 消息 如 何 实 现 二 进 制 编码 。 

3) 所 访问 数据 项 的 规定 : 为 提高 可 扩展 性 ，SNMP 协议 对 所 访问 数据 项 的 规定 独立 于 消 县 
格式 和 编码 。SNMP 使 用 管理 信息 详 (Management Information Base, MIB) 表示 被 管 数 据 项 的 
集合 ， 并 且 MIB 的 定义 同 消息 协议 相互 分 离 。 

4) 在 网 络 元 素 中 运行 的 软件 : SNMP 代理 (agent) 是 指 运行 在 网 络 元 素 中 的 软件 ， 代 理 使 
用 SNMP 协议 同 管理 员工 作 站 进行 通信 。SNMP 代理 通过 返回 请 求 信息 或 执行 同 被 修改 的 数据 项 
相关 的 操作 来 响应 管理 员 发 送 的 请 求 。 

5) 在 管理 员工 作 站 中 运行 的 软件 : 运行 在 管理 员工 作 站 上 的 客户 端 软件 能 够 连接 管理 员 和 和 
SNMP 协议 一 一 软件 会 接收 管理 员 发 来 的 请 求 ， 构 造 SNMP 请 求 并 将 其 发 送 给 相应 的 网 络 元 素 ， 
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然后 接收 网 络 元 素 发 回 的 响应 并 将 结果 显示 给 管理 员 。 我 们 知道 ， 大 多 数 SNMP 技术 关注 的 是 
管理 员 无 需 了 解 的 细节 。 因 此 ， 管 理 员 选择 的 用 户 接口 会 隐藏 SNMP 细节 并 采用 便于 阅读 的 方 
式 显示 信息 。 





SNMP 泛 指 通信 协议 、 编 码 规则 、 被 管 数 据 项 定义 和 软件 。 


10.8 基本 SNMP 命令 和 优化 


虽然 SNMP 遵循 读 写 范 型 ， 但 是 在 SNMP 中 通常 采用 Get 命令 和 Set 命令 来 代替 读 命令 和 写 
5 邻 。 即 使 管理 员 很 少 直 接 使 用 术语 ， 但 是 很 多 SNMP 软件 的 人 工 接口 都 会 涉及 Get 命令 和 Set 
命令 。 


= 


= 


除了 上 述 两 个 基本 操作 之 外 ，SNMP 还 包括 同 网 络 元 素 的 进行 交互 相关 的 优化 命令 。 
当 自 动 软件 采用 SNMP 执行 管理 任务 的 时 候 ， 优 化 命令 就 格外 有 用 。 例 如 ， 一 个 应 用 程序 
向 特定 网 络 元 素 请 求 相 关 数 据 项 集合 ， 如 果 遵 循 读 写 范 型 ， 程 序 必 须 为 每 个 数据 项 发 送 一 
个 Get 请 求 。 为 优化 交互 过 程 ，SNMP 提供 了 Get-Bulk 命令 ， 该 命令 能 够 通过 一 个 单独 的 


请 求 获 取 多 个 数据 项 。 
SNMP 的 Get-Next 命令 允许 应 pause 1 集合 进行 单 步调 试 ， 
这 也 是 SNMP 的 一 种 优化 方式 。 hc i 一 个 响应 ， 应 用 程序 会 提取 数据 项 


的 名 称 并 使 用 Get- Next 命令 请 求 下 一 个 数据 项 。 i Get- Next 命令 允许 应 用 程序 从 网 络 元 
素 中 获取 整个 数据 项 集合 而 无 需 了 解 每 个 数据 项 的 当前 结果 ， 因 此 Get- Next 命令 能 够 加 强 
SNMP 的 功能 性 。 


ra Ze , 


ABA HFA 。 


除了 Get 命令 和 Set 42 9h, SNMP 还 包含 Get- Bulk 命令 和 Get- Next 命令 ， 这 两 个 


命令 在 自动 管理 程序 使 用 SNMP 时 特别 有 用 。 





10.9 异步 Trap 命令 和 事件 监控 


SNMP 包含 的 一 个 附加 命令 能 够 大 大 增强 SNMP 的 功能 ，Trap 命令 。Trap 命令 与 其 他 命令 
有 两 个 显著 的 区 别 ， 


© 代理 软件 生成 Trap 命令 
。 Trap 是 异步 命令 


SNMP 代理 软件 在 网 络 元 素 中 运行 ， 因 此 ，Trap 消息 由 网 络 元 素 发 起 。Trap 命令 的 异步 性 
是 指 网 络 元素 可 以 生成 并 发 送 一 个 Trap 消息 ， 而 无 须 等 待 管理 员工 作 站 发 来 的 Get A. thet 
是 说 ，Trap 消息 具有 主动 性 。 

网 络 元 素 何 时 会 发 送 Trap 消息 ?Trap 消息 会 发 送 到 哪个 目标 地 址 ? 由 于 Trap 消息 具有 
主动 性 ， 代 理 无 法 使 用 输入 消息 触发 Trap 命令 ， 也 无 法 从 输入 消息 中 提取 工作 站 的 地 址 。 
因此 上 述 问题 的 答案 在 于 配置 : 只 有 管理 员 配 置 了 代理 软件 ， 网 络 元 素 才 能 生成 SNMP 的 
Trap 消息 。 

通常 ， 管 理 员 使 用 SNMP 中 Trap 命令 进行 事件 监控 。 也 就 是 说 ， 管 理 员 指 定 应 该 生成 Trap 
命令 的 条 件 〈 例 如 ， 链 路 达到 饱和 或 接收 到 的 大 量 数据 包 的 校 验 和 无 效 ) ， 还 会 指定 Trap AY 
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该 被 发 送 到 的 管理 工作 站 地 址 。 网 络 元 素 中 的 代理 软件 会 不 断 测 试 每 一 个 条 件 ， 并 在 条 件 满足 
时 生成 Trap 消息 ” 。 
总 结 : 


SNMP 中 的 Trap 消息 是 自动 事件 监控 的 基础 ， 管 理 员 可 以 通过 指定 条 件 集合 与 管理 工 


作 站 地 址 的 方式 配置 网 络 元 素来 生成 SNMP Trap 消息 。 





10.10 Trap ar. Seva, TEA CPU 周期 


E, Æ SNMP 中 包括 Trap 消息 可 以 理解 为 男 一 种 形式 的 优化 而 非 扩 展 。Trap 命令 无 法 
提高 SNMP 的 功能 性 ， 原 因 在 于 采用 轮 询 方式 能 够 达到 同样 的 结果 ， 运行 在 管理 工作 站 中 的 软 
件 能 够 不 断 发 送 Get 消息 请 求 网 络 元 素 的 信息 ， 分 析 网 络 元 素 返 回 的 数值 ， 并 在 满足 一 定 条 件 的 
情况 下 向 管理 员 预 警 。 

在 实践 中 ， 轮 询 方式 只 适用 于 最 简单 的 情况 ， 原 因 有 两 个 。 首 先 ， 轮 询 会 产生 过 度 网 
络 流量 。 轮 询 流 量 同 网 络 元 素 的 总 数 和 每 个 网 络 元 素 检 查 的 数据 项 总 数 成 正比 。 由 于 一 个 
条 件 可 能 同 多 个 数值 相关 ， 因 此 竺 检查 的 数据 项 总 数 非 常 重要 。 第 二 ， 管 理 员工 作 站 具有 
有 限 的 CPU 周期 。 除 了 生成 轮 询 请 求 和 分 析 结 果 之 外 ，CPU 还 会 运行 协议 梭 并 更 新 显示 结 
果 。 因 此 ， 当 轮 询 方式 开销 过 大 时 采用 异步 Trap 命令 能 够 降低 开销 。 例 如 ， 当 网 络 中 有 很 
多 网 络 元 素 时 ， 且 管理 员 规 定 的 条 件 涉及 很 多 数据 项 ， 或 管理 员 频 繁 请 求 升 级 时 ， 采 用 蜡 
步 Trap 命令 效果 最 佳 。 

要 点 : 


在 轮 询 机 制 不 可 用 时 ， 异 步 Trap 消息 的 内 容 允 许 SNMP 进行 事件 监控 。 





10.11 管理 信息 库 和 变量 


SNMP 技术 将 通信 协议 的 定义 和 编码 同上 所 访问 的 数据 项 集合 相 分 离 ， 并 使 用 管理 信息 库 
(MIB) 这 个 术语 来 描述 数据 项 集合 。 

MIB 定义 了 变量 (variable) 集合 ， 其 中 每 个 变量 对 应 一 个 被 管 数据 项 。MIB 文档 为 每 
个 变量 定义 了 名 称 (name) 和 精确 的 语义 ,包括 变量 的 取 值 范围 和 网 络 元 素 响 应 Get 或 Set 
命令 的 规定 。 例 如 ， 一 个 MIB 变量 对 应 到 达 某 个 接口 的 数据 包 总 数 ， 它 的 定义 中 指定 : 计 
数 器 的 范围 为 32 位 整数 ，Get 命令 返回 计数 器 的 当前 值 ，Set 命令 为 计数 器 分 配 一 个 新 值 。 
MIB 还 为 管理 员 控 制 的 每 个 虚拟 数据 项 定义 一 个 变量 〈 例 如 ， 本 章 曾 介绍 过 的 重新 启动 数 
据 项 ) 。 要 点 : 


SNMP 的 MIB 为 每 个 被 管 数 据 项 定义 了 一 个 变量 。 定 义 中 给 出 了 变量 名 和 精确 语义 ， 


包括 变量 的 取 值 范围 和 Get 命令 以 及 Set 命令 的 操作 含义 。 





早期 的 MIB 标准 化 工作 试图 将 所 有 可 能 的 变量 定义 收集 到 一 个 文档 中 。 然 而 ， 儿 年 后 ， 


O 本章 后 续 各 节 将 讨论 远程 监控 的 MB (RMON MIB)， 对 可 能 重复 发 生 的 事件 ， 它 允许 管理 员 控 制 Trap 消息 的 


生成 速率 。 
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SNMP 的 普及 意味 着 需要 不 断 修 改 文 档 以 容纳 新 的 变量 。 所 以 IETF 决定 将 MIB 标准 划分 为 多 个 
文档 ， 并 且 每 个 文档 可 以 独立 进行 更 改 。 对 于 标准 化 组 织 或 商业 协会 这 样 的 组 织 ， 如 果 创 建 了 一 
种 新 技术 ， 该 组 织 可 以 在 不 更 改 其 他 MIB 标准 的 前 提 下 为 该 技术 定义 MIB 变量 集 。 同 样 的 ， 如 
果 某 企业 推出 了 一 个 具有 特殊 功能 的 新 型 网 络 元 素 ， 该 企业 可 以 定义 MIB 变量 集 并 发 布 独立 的 
规定 文档 。 

RV oie MIB 标准 为 何 能 够 分 割 成 独立 的 文档 。 至 此 ， 我 们 就 可 以 理解 在 处 理 内 容 添 
加 和 修改 时 文档 划分 的 必要 性 。 要 点 : 


为 适应 新 的 网 络 技术 和 实现 ，MIB 标准 被 划分 成 多 个 独立 的 文档 。 添 加 新 文档 或 修改 





现 有 文档 都 不 会 对 其 他 MIB 标准 产生 影响 。 


从 管理 员 的 角度 来 看 ， 多 个 MB 标准 文档 的 出 现 意味 着 管理 员 必 须 熟 悉 网 络 中 应 用 的 MIB 
所 对 应 的 模块 。 例 如 ， 大 多 数 SNMP 软件 都 包含 用 于 基本 协议 (例如 TCP AIP) 的 标准 MIB, 
然而 ， 如 果 管 理 员 安装 了 一 个 新 型 网 络 设备 ， 现 有 的 SNMP 软件 可 能 不 包含 对 新 技术 的 MIB 定 
义 。 因 此 ， 在 使 用 SNMP 对 新 型 网 络 设备 进行 监控 和 控制 之 前 ， 管 理 员 必须 了 解 并 创建 适当 的 
MIB Æ Xo MF: 





在 使 用 SNMP 管理 新 型 网 络 或 网 络 元 素 之 前 ， 管 理 员 需要 熟知 并 建立 新 的 MIB 定义 。 


10. 12 MIB 变量 的 层次 命名 


不 同 组 织 如 何 避 免 MIB 标准 定义 中 的 冲突 和 不 一 致 性 ? 关键 在 于 层次 命名 空间 (hierarchical 
namespace) 的 使 用 。 分 层 能 为 不 同 的 名 称 分 配 不 同 的 权限 ， 这 样 每 个 组 织 都 会 拥有 自己 的 命名 
空间 。 因 此 ， 一 个 组 织 能 在 自己 的 权限 范围 内 指定 变量 名 称 和 含义 ， 这 就 不 会 对 其 他 组 织 分 配 的 
名 称 造 成 干扰 。 

事实 上 ， 层 次 命名 的 思想 并 非 起 源 于 SNMP 或 MIB。 相 反 的 ，MIB 变量 名 都 是 从 对 象 标 识 
符 (object identifier) 命名 空间 分 配 而 来 的 ， 对 象 标识 符 命名 空间 是 一 个 由 国际 标准 化 组 织 
(ISO) 和 国际 通信 联盟 (ITU) 共同 管理 的 全 球 化 层次 命名 结构 。 图 10-1 通过 显示 MIB 变量 相 
关 的 内 容 说 明了 MIB 变量 名 在 整个 层次 结构 中 的 位 置 。 

如 图 所 示 ， 命 名 层次 空间 中 的 每 个 节点 都 被 分 配 了 一 个 字母 序 标签 和 一 个 数字 序 标 
签 。 节 点 的 名 称 通过 层次 路 径 给 出 ， 书 写 时 使 用 圆 点 分 隔 路 径 中 的 标签 =。 人 工 书写 时 
通常 采用 字母 序 标签 ， 而 发 送 消息 时 通常 采用 数字 序 标 签 ， 原 因 在 于 数字 编码 使 用 的 比 
特 数 较 少 。 

MIB 变量 名 位 于 mib 标签 之 后 ，mib 标签 位 于 mgmt (management) 标签 之 后 。mgmt 节点 
位 于 internet 之 后 ，internet 的 层次 是 由 美国 国防 部 (dod) 所 分 配 。 因 此 ， 带 有 mib 标签 的 节点 
全 名 为 : 

iso. org. dod. internet. mgmt. mib 
Aa Te BFF on SEARS [AUER BRE, ESE RR AB OF : 
1. 3. 6. 1. 2. 1 


日 ”抽象 语法 标记 第 1 (ASN.1) 中 对 格式 进行 了 详细 说 明 。 
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图 10-1 MIB 变量 名 的 层次 对 象 命名 空间 。 每 个 节点 既 有 字母 序 标签 
也 有 数字 序 标签 ， 节 点 的 名 称 同 起 始 于 根 节点 的 路 径 相 对 应 


独立 的 MIB 变量 被 分 配 在 如 图 所 示 的 最 下 层 。 所 有 属于 IP 协议 的 MB 变量 都 被 分 配 在 标签 
为 ip 的 节操 之 下 ， 属 于 TCP 协议 的 变量 被 分 配 在 标签 为 tp 的 节点 之 下 ， 以 此 类 推 。 例 如 ， 一 
个 包含 网 络 元 素 接收 到 的 耳 数 据 报 计数 融 的 MIB 变量 的 标签 为 ipInReceives， 并 且 被 分 配 在 节点 
ip 之 下 。 因 此 ， 变 量 的 全 名 如 下 : 

iso. org. dod. internet. mgmt. mib. ip. ipInReceives 

虽然 MIB 变量 被 划分 为 相互 独立 的 协议 , 但 是 所 有 MIB 变量 名 在 全 局 层次 命名 空间 中 都 位 
于 相同 的 子 树 中 。 因 此 ， 每 个 MIB 变量 名 都 包含 从 根 节点 到 这 个 MIB 子 树 的 一 条 较 长 的 路 径 ， 
同时 还 包含 指明 数据 项 的 额外 标签 。 总 结 : 
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MIB 变量 名 对 应 层次 对 象 命名 空间 中 的 一 条 路 径 。 由 于 MB 变量 位 于 层次 中 的 相同 位 


置 ， 因 此 它们 的 前 组 相同 : 
iso. org. dod. internet. mgmt. mib. 





10.13 ”分 层 的 优 缺 点 


正如 前 文 所 述 ，SNMP 中 的 MIB 变量 使 用 一 个 标准 的 层次 命名 空间 。 全 局 (global) 命名 空 
间 意 味 着 一 个 独立 层次 包含 的 内 容 是 对 象 而 非 MIB 变量 。 绝 对 (absolute) 名 称 意味 着 每 个 名 称 
都 代表 层次 中 的 一 条 完整 路 径 。 

标准 化 全 局 层次 结构 和 绝对 名 称 的 使 用 体现 了 一 种 平衡 。 全 局 层次 的 主要 优点 是 能 够 保证 
MIB 变量 同 其 他 标识 符 不 产生 冲突 。 同 时 ， 由 于 采用 绝对 名 称 ， 翻 译名 称 时 就 不 需要 上 下 文 ， 
MIB 变量 同 其 他 数据 项 之 间 也 不 会 产生 二 义 性 。 

绝对 命名 方案 的 主要 缺点 在 于 变量 名 的 长 度 。 即 使 使 用 变量 名 的 所 有 软件 都 理解 其 中 只 涉 
及 MIB 变量 ,但 是 每 个 变量 名 也 必须 包含 很 长 的 前 级 。 特 别 的 ， 由 于 SNMP 软件 只 使 用 MIB 变 
量 名 ， 因 此 变量 名 前 级 不 包含 任何 可 用 信息 (从 后 几 项 标签 中 才能 获取 变量 名 信息 )。 

当 变 量 名 必须 在 SNMP 消息 中 传输 时 ， 长 前 缀 问题 则 变 得 格外 重要 。 例 如 ， 对 于 一 个 包含 
很 多 Get 请 求 的 消息 ， 每 个 Get 命令 都 标识 一 个 变量 名 ， 每 个 变量 名 具有 相同 前 级 。 这 样 的 元 余 
前 缀 意味 着 数据 传输 总 量 大 大 增加 ， 会 浪费 更 多 带宽 。 当 采用 UDP 方式 传输 SNMP 时 ， 较 大 的 
请 求 必须 被 划分 成 多 个 消息 。 总 结 : 


SNMP 的 基本 设计 原则 是 使 用 全 局 绝对 对 象 名 称 和 长 前 组 来 区 分 MIB 名 称 ， 而 不 使 用 


其 他 类 型 的 对 象 名 ， 这 使 得 MB 变量 名 的 长 度 大 大 增加 。 





10.14 复杂 数据 集合 和 MIB 表 


前 几 节 对 于 MIB 变量 的 描述 是 以 用 于 单独 数值 ( 例如， 存储 接 收 到 的 数据 包 总 数 的 整数 
值 )。 然 而 ,很 多 必须 管理 的 数据 项 需要 用 到 包含 多 类 数值 的 复杂 数据 集合 (data aggregate) 。 

IPAH (URA P 转发 表 或 第 3 层 转发 表 ) 为 例 ， 管 理 员 将 P 路 由 表 视 为 多 个 项 目 
的 集合 ， 每 一 项 都 代表 多 个 数值 。 图 10-2 列 出 了 可 能 出 现在 正路 由 表 中 的 数据 项 以 及 这 些 数据 
项 的 长 度 和 含义 。 


目标 地 址 目标 IP 地 址 
地 址 掩 码 前 一 项 的 位 掩 码 


下 一 跳 正 地 址 下 一 个 路 由 器 地 址 
接口 号 外 出 接口 

起 始 路 由 数据 项 的 源 地 址 
生存 时 间 路 由 表 项 的 生存 时 间 





图 10-2 IP 路 由 表 中 每 个 表 项 中 的 数据 项 示例 
为 了 适应 数据 集成 ，MIB 命名 方案 包含 了 表 (table) 的 概念 。 表 是 对 同 构 (homogeneous) 


153| 
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FFH (heterogeneous) 数据 集合 的 归纳 整合 。 也 就 是 说 ， 表 能 够 对 应 于 数据 项 完全 相同 或 数据 
项 不 同 的 数据 集合 。 采 用 可 编程 语言 的 术语 来 说 ， 表 能 够 对 应 于 数据 项 类 型 相同 的 数组 (array ) 
或 数据 项 类 型 不 同 的 结构 (structure) © 。 

SNMP 的 MIB 为 网 络 元 素 中 的 数据 结构 和 设备 定义 表 。 例 如 ， 有 的 表 对 应 ARP 高 速 缓存 
( 即 每 个 表 项 对 应 高 速 缓存 中 的 一 个 数据 项 ) 。 另 外 ，MIB 定义 的 表 还 可 以 对 应 于 网 络 元 素 的 物 
理 接 口 〈 即 每 个 表 项 对 应 一 个 接口 ) 。 

使 用 可 编程 语言 能 将 表 设 置 为 任意 深度 。 因 此 ，MIB 表 中 的 每 一 项 又 可 以 是 一 个 表 ， 以 此 
类 推 。 表 中 每 一 层 的 数据 项 都 可 能 不 同 。 

IP 路 由 表 就 是 一 个 很 好 的 例证 。 在 传统 的 编程 语言 中 ， 卫 路 由 表 对 应 于 一 个 数组 ， 数 组 中 
的 每 一 项 都 是 定义 了 多 个 域 的 结构 (例如 ， 图 10-2 中 列 出 的 数据 项 ) 。 就 MB 变量 而 言 ， 整 个 
路 由 表 被 定义 成 同类 的 MIB 表 ， 每 一 个 表 项 都 是 一 个 异类 MIB 表 。 

总 结 : 


MIB 命名 方案 使 用 表 结 构 以 容纳 数据 集合 。 每 个 表 都 对 应 同类 或 者 异类 的 数据 集合 ， 





并 且 表 可 以 被 设置 为 任意 深度 。 


10.15 汇聚 访问 的 粒度 


同 汇聚 数据 项 相关 的 一 个 问题 是 访问 的 粒度 。 以 正路 由 为 例 ， 路 由 表 包 含 多 个 表 项 ， 每 一 
个 表 项 都 可 能 包含 图 10-2 中 列 出 的 数据 项 。 有 时 ， 管 理 员 需 要 将 整个 表 项 当成 一 个 独立 的 单元 
进行 处 理 。 有 时 ， 管 理 员 需要 区 分 对 竺 同一 个 表 项 中 的 不 同 数据 项 。 例 如 ， 当 从 路 由 表 中 移 除 一 
个 表 项 时 ,管理 员 需 要 处 理 表 项 中 的 全 部 内 容 。 然 而 ， 当 改变 数据 项 “下 一 跳 ” (next hop) 的 
值 的 时 候 ， 管 理 员 只 需要 处 理 这 个 数值 而 不 用 更 改 表 项 中 的 其 他 数据 。 

FARE, MB 命名 方案 能 同时 提供 上 述 两 类 访问 。 也 就 是 说 ， 命 名 方案 为 整个 表 分 配 一 
个 名 称 ， 同 时 为 每 个 数据 项 分 配 各 目的 名 称 。 因 此 ，SNMP 消息 能 够 指明 某 个 操作 是 针对 整个 数 
据 集合 还 是 针对 集合 中 的 一 个 数据 项 。 总 结 : 










由 于 MIB 命名 方案 为 每 个 表 设 定 一 个 唯一 的 名 称 ， 并 为 表 中 的 每 个 数据 项 设 定 各 自 的 
名 称 ， 因 此 ，SNMP 消息 就 能 够 指明 所 进行 的 操作 对 象 是 整个 数据 集合 还 是 集合 中 的 
一 个 数据 项 。 





10.16 ”传输 协议 和 交互 


网 络 管理 技术 之 间 的 一 个 根本 区 别 在 于 控制 的 范围 : 每 次 只 能 管理 一 个 设备 的 技术 属于 元 
素 管 理 技术 。 从 这 种 意义 上 说 ，SNMP 是 一 种 元 素 管 理 技术 。SNMP 采用 请 求 - 响应 的 交互 方 
式 ， 在 这 种 工作 方式 下 ， 管 理 软 件 可 以 向 网 络 元 素 发 送 消息 ， 同 时 网 络 元 素 会 发 回 一 个 响应 说 明 
该 请 求 是 否 通 过 。 总 结 : 


SNMP 本 身 是 一 种 元 素 管 理 技术 ， 原 因 在 于 SNMP 只 允许 管理 员工 作 站 每 次 同一 个 网 


络 元 素 进 行 交互 。 





O 有 些 可 编程 语言 使 用 术语 “记录 ”来 代替 “结构 ”。 
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有 趣 的 是 ， 由 于 SNMP 既 可 以 使 用 无 连接 的 (connectionless) 传输 协议 也 可 以 使 用 面向 连接 
的 (connection-oriented) 传输 协议 (BI UDP 或 TCP) ， 有 时 就 会 产生 混乱 。 也 就 是 说 ， 当 使 用 
SNMP 同 代 理 通 信 时 ， 管 理 软 件 既 可 以 使 用 不 同 的 UDP 数据 包 单 独 发 送 每 个 消息 ， 也 可 以 打开 
一 个 与 代理 的 TCP 连接 并 通过 这 个 连接 发 送 多 个 消息 。 如 果 通 过 UDP 接收 请 求 ， 代 理 也 会 采用 
UDP 方式 返回 响应 ; 如 果 通 过 TCP 接收 请 求 ， 代 理会 使 用 同一 个 TCP 连接 返回 啊 应 消息 。 

TCP 连接 能 够 持续 发 送 多 个 SNMP 消息 一 一 一 旦 打开 TCP 连接 ， 该 连接 能 够 一 直 保 持 打 开 
并 实现 后 续 的 消息 交换 。 然 而 ，TCP 连接 的 保持 不 能 改变 下 层 交 互 ， 即 使 管理 软件 为 多 个 网 络 
元 素 建 立 TCP 连接 ， 并 保持 其 有 效 性 ， 通 过 该 连接 发 送 的 每 个 请 求 都 会 进行 单独 处 理 。 

总 结 : 


虽然 SNMP 可 以 采用 UDP A TO 方式 传输 并 保持 TCP 连接 的 有 效 性 ， 但 由 于 代理 


软件 会 对 每 个 消息 进行 单独 处 理 ， 因 此 传输 方式 的 选择 不 会 影响 下 层 交 互 。 














10. 17 更 新 、 消 息 和 原子 性 


从 概念 上 说 ， 有 一 个 关键 方面 将 决定 一 项 技术 提供 的 是 网 络 元 素 管 理 还 是 全 网 管理 。 这 个 
关键 方面 就 是 信息 更 新 时 系统 提供 的 原子 性 (atomicity ) 。 原 子 更 新 是 指 系统 要 保证 对 所 有 内 容 
要 么 全 部 进行 更 新 要 么 全 部 不 更 新 一 一 如 果 任 意 一 部 分 更 新 失败 ， 则 系统 不 会 发 生 任 何 改 变 。 
因此 ， 元 素 管 理 和 网 络 管理 的 区 别 就 在 于 执行 原子 更 新 的 粒度 。 元 素 管理 系统 仅 能 保证 每 次 升 
级 一 个 网 络 元 素 ， 而 全 网 管理 系统 能 够 保证 同时 升级 多 个 网 络 元 素 。SNMP 消息 的 独立 性 是 指 如 
果 管 理 软件 向 多 个 网 络 元 素 发 送 Set 请 求 ， 有 些 网 络 元 素 可 能 执行 成 功 ， 另 一 些 可 能 执行 失败 。 
总 结 : 











元 素 管 理 系统 仅 能 保证 单一 网 络 元 素 的 原子 性 ， 而 全 网 管理 系统 能 够 保证 多 个 网 络 元 
素 的 原子 性 。 














有 趣 的 是 ， 虽 然 每 次 只 能 更 新 一 个 网 络 元 素 , 但 是 SNMP 协议 仍然 制订 了 严格 的 规则 来 保 
证 操作 的 原子 性 : 对 于 给 定 消息 ， 只 允许 执行 全 部 命令 或 者 不 执行 任何 命令 。 这 样 ，SNMP 就 能 
保证 每 个 消息 的 原子 性 (per-message atomicity) 。 因 此 ， 如 雷管 理 员 发 送 一 个 要 更 改 三 条 路 由 的 
SNMP 消息 ， 执 行 结 米 只 能 是 三 条 路 由 全 部 改变 ,或 者 不 改变 任何 一 条 路 由 (返回 的 响应 中 会 标 
识 是 否 成 功 执行 更 改 操 作 ) 。 总 结 ， 


虽然 SNMP 无 法 处 理 多 个 网 络 元 素 的 原子 性 更 新 ， 但 是 SNMP 能 够 保证 给 定 消 息 中 的 
Set 命令 得 到 全 部 执行 或 者 完全 不 执行 。 


给 定 消息 中 的 原子 性 需求 在 管理 软件 中 的 重要 性 体现 在 两 个 方面 。 首 先 ， 它 允许 管理 软件 
使 用 无 连接 传输 以 避免 由 消息 的 重新 排序 引发 的 问题 。 第 二 ， 它 允许 管理 软件 避免 因 微 小 改变 
而 造成 的 不 一 致 状态 。 当 然 ， 如 果 提 供 的 接口 不 允许 管理 员 指 明 如 何 将 命令 聚合 在 消息 中 ， 那 么 
管理 员 将 无 法 控制 原子 性 操作 或 同步 更 新 操作 。 


10.18 远程 监控 MIB 
MIB 变量 的 一 个 方面 能 够 为 SNMP 添加 新 的 功能 ， 因 此 这 个 方面 格外 重要 。 我 们 已 经 知道 ， 
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SNMP MIB 的 原始 定义 关注 交互 范 型 ， 这 种 范 型 允许 管理 员工 作 站 中 的 软件 同一 系列 网 络 元 素 
进行 交互 。 软 件 发 起 交互 过 程 ， 接 收 响应 ， 并 显示 选 定 的 数据 项 。 当 监控 多 个 网 络 元 素 时 ， 这 种 
方式 会 产生 大 量 网 络 流量 并 要 求 管理 员工 作 站 花费 大 量 CPU 周期 对 响应 进行 处 理 和 分 析 。 即 便 
使 用 Trap 命令 降低 网 络 负载 ， 管 理 员 也 必须 控制 Trap 命令 的 生成 过 程 。 

虽然 使 用 基本 MIB 变量 足以 描述 数据 结构 ， 但 是 这 些 变量 不 允许 管理 员 针 对 何 时 以 及 如 何 
生成 Trap 命令 以 及 如 何 管理 交互 过 程 制订 具体 细节 。 有 些 企 业 开发 出 用 于 管理 交互 过 程 的 软件 ， 
但 是 每 种 软件 都 是 一 种 专 有 的 解决 方案 。 为 了 实现 控制 功能 的 标准 化 ，IETF 采用 了 一 种 有 趣 的 
方式 : ETF 没有 创建 新 的 应 用 层 协议 ， 而 是 额外 制订 了 一 组 MIB 定义 ， 该 定义 集合 允许 管理 员 
控制 同 远 程 设备 的 交互 过 程 。 

这 种 IETF 标准 称 为 远程 监控 (Remote MONitoring, RMON) MIB 。 本 质 上 ，RMON 定义 了 大 
量 虚拟 数据 项 ， 使 得 管理 员 能 够 使 用 Set 命令 控制 设备 对 管理 信息 的 采集 、 存 储 以 及 通信 。 例 如 ， 
管理 员 可 以 规定 : 设备 需要 维护 数据 包 的 统计 信息 、 存 储 事件 日 志 ， 并 在 满足 一 定 条 件 时 生成 预警 
消息 。 另 外 ，RMON 指定 的 变量 集合 ， 管 理 员 可 以 使 用 Get 命令 对 存储 的 变量 数值 进行 查询 。 

由 于 RMON 使 用 多 个 变量 定义 控制 功能 ， 因 此 这 个 标准 会 将 变量 划分 成 不 同 的 组 (group), 
每 一 组 对 应 广泛 的 管理 功能 或 协议 。 图 10-3 列 出 了 RMON 中 的 MIB 组 及 其 作用 。 


Moe, 


EDAH è 





RMON MIB 定义 的 变量 能 在 不 使 用 额外 协议 的 条 件 下 允许 管理 员 控 制 统计 数据 的 收集 
fo Trap 预警 的 生成 。 





统计 数据 数据 包 和 计数 带 的 统计 数据 
历史 定期 的 数据 包 采 样 

预警 通知 的 统计 样本 和 立 值 
主机 数据 包 到 达 的 主机 记录 


hostTopN 发 送 数据 包 的 主机 统计 数据 

和 矩阵 主机 之 间 的 通信 统计 数据 

过 滤器 事件 和 预警 的 数据 包 规 定 

数据 包 捕获 捕获 和 存储 的 用 于 分 析 的 数据 包 副 本 
事件 输出 通知 的 生成 





图 10-3 RMON MIB 中 的 组 及 其 用 途 


10. 19 ”从 管理 员 角 度 看 MIB 变量 


在 SNMP 中 可 以 使 用 两 类 工具 。 大 多 数 管理 员 愿 意 使 用 提供 局 级 接口 的 工具 。 这 类 工具 会 
隐藏 MIB 变量 和 SNMP 消息 的 细节 。 高 级 工具 不 会 要 求 管理 员 理 解 MIB 名 称 ， 而 是 使 用 一 种 同 
任务 相关 的 语言 和 图 形 方 式 以 便于 理解 的 形式 显示 输出 结果 。 

另 一 种 工具 能 为 管理 员 提 供 SNMP 的 低级 接口 。 低 级 工具 允许 管理 员 生 成 并 发 送 消息 ， 其 


158] ”中 包括 Get 命令 和 Set 命令 的 细节 以 及 每 个 命令 中 MIB 变量 名 的 规定 。 在 安装 高 级 管理 工具 之 


蝗 ” 从 技术 上 说 ， 图 中 的 组 来 自 RMON1。RMON2 定义 了 其 他 的 组 ,包括 用 于 高 层 协 议 的 组 。 
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， 如 有 果 网 络 中 添加 了 新 设备 或 者 新 服务 ， 这 时 就 可 能 用 到 低级 SNMP TH., 










管理 员 通 常 愿 意 采 用 隐藏 SNMP 和 MIB 变量 细节 的 工具 。 然 而 ， 对 消息 或 MIB 变量 
名 的 细节 进行 详细 说 明 时 ， 就 需要 用 到 低级 工具 。 








10.20 ”安全 性 和 团体 名 


SNMP 协议 的 第 1 版 和 第 2 版 提供 的 安全 性 较 低 : 消息 内 容 不 加 密 ， 认 证 方案 也 较 弱 。 在 认 
证 的 处 理 过 程 中 ， 每 个 SNMP 消息 都 需要 携带 一 个 团体 名 (community string) ， 接 收 方 会 根据 团 
体 名 对 消息 进行 认证 。 例 如 ， 对 于 一 个 接收 SNMP 请 求 的 网 络 元 素 ， 当 收 到 消息 时 ， 网 络 元 素 
必须 验证 消息 中 的 团体 名 同 本 地 配置 的 团体 名 是 否 匹 配 。 如 果 二 者 不 能 匹配 ， 网 络 元 素 会 拒绝 
响应 这 个 消息 。 独 立 团体 名 共有 三 个 访问 级 别 : 读 、 写 和 全 部 可 写 。 

很 多 早期 的 SNMP 产品 都 为 团体 名 设置 了 一 个 默认 值 。 有 趣 的 是 ， 这 个 默认 值 是 公开 的 
publie) 。 视 多 管理 员 安装 了 SNMP RIHAR EAIA, sete Tan EDEA IA 
的 密码 ， 使 安全 性 降低 。 

SNMP 第 3 版 的 安全 性 得 到 了 极 大 提高 ， 它 要 求 安 全 性 包含 以 下 三 类 内 容 : 

。 认证 

。 隐私 

。 基 于 视图 的 访问 控制 

SNMP 第 3 版 对 消息 进行 认证 ， 这 意味 着 网 络 元 素 能 够 保证 消息 的 合法 来 源 。 为 了 防止 消息 
在 管理 员工 作 站 和 被 管 元 素 之 间 传 输 时 被 非法 阅读 ， 第 3 版 还 通过 加 密 的 方式 提供 了 消息 隐私 
保护 。 

SNMP 第 3 版 中 最 有 趣 的 方面 就 是 基于 角色 的 访问 控制 CRBAC) 机 制 的 使 用 。 基 于 视图 的 
访问 控制 是 指 管理 员 对 网 络 元 素 中 数据 项 的 读 取 和 修改 依赖 于 管理 员 使 用 的 权限 。 因 此 ， 通 过 
配置 网 络 元 素 中 的 第 3 版 软件 ， 能 够 实现 一 个 管理 员 在 更 改 路 由 表 的 同时 另 一 个 管理 员 对 数据 包 
计数 器 进行 查询 和 复位 。 


10.21 总 结 


SNMP 是 一 种 广 沁 应 用 的 管理 技术 ， 它 能 够 实现 管理 员工 作 站 和 被 管 实体 之 间 的 通信 。 
SNMP 的 操作 映射 为 使 用 Get 命令 和 Set 命令 的 读 写 范 型 。 管 理 信 息 库 (MIB) 中 的 变量 都 在 标 
准 层次 命名 空间 中 进行 统一 命名 。 另 外 两 个 命令 Get- Bulk 和 Get- Next 能 够 用 于 优化 交互 过 程 。 
除了 基本 数据 项 变量 和 虚拟 数据 项 变量 之 外 ，MIB 还 包含 了 对 应 于 数据 集合 的 表 结 构 。 异 步 
Trap 命令 能 够 通过 支持 事件 监控 的 方式 扩展 SNMP 的 功能 。 在 无 法 使 用 轮 询 机 制 的 情况 下 ， 
SNMP 还 可 以 使 用 Trap 命令 进行 事件 监控 。 

虽然 SNMP 能 够 为 每 个 消息 提供 原子 性 操作 ， 但 是 它 无 法 保证 多 个 网 络 元 素 之 间 的 同步 。 
因此 ，SNMP 属于 一 种 元 素 管理 技术 。 

RMON MIB 指定 允许 管理 员 控 制 同 远程 网 络 元 素 的 交互 的 变量 。 人 例如， 管理 员 可 以 规定 在 
哪些 条 件 下 需要 网 络 元 素 生 成 Trap 命令 ， 生 成 数据 包 统 计 样 本 ， 以 及 生成 流量 和 矩阵 中 的 数据 到 
合体 。 

SNMP 协议 的 第 1 版 和 第 2 版 缺少 安全 性 机 制 ， 当 前 的 SNMP 第 3 版 能 够 提供 认证 、 隐 私 保 
护 和 基于 视图 的 访问 控制 。 
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第 11 章 流量 数据 和 数据 流 分 析 (NetFlow) 


11.1 简介 


本 书 的 这 一 部 分 将 讨论 用 于 网 络 管理 的 工具 和 技术 。 上 一 章 详细 介绍 了 用 于 管理 员工 作 站 
和 被 管 网 络 元 素 或 服务 之 间 通 信 的 SNMP 技术 。 本 章 将 继续 讨论 管理 员 对 网 络 流量 进行 数据 分 
析 时 所 使 用 的 技术 。 

本 童 将 阐述 流量 分 析 的 根本 目的 和 动机 ,介绍 管理 员 对 测量 结果 的 使 用 方式 ， 解 释 进行 数 
据 收集 和 评估 的 架构 ， 并 分 析 NetFlow 这 个 事实 上 的 标准 。 下 一 章 要 讨论 的 管理 技术 会 关注 路 由 
和 流量 管理 。 


11.2 基本 流量 分 析 


本 书 中 的 术语 “流量 分 析 ”(traffic analysis) 是 指 测量 网 络 流量 、 评 估 流 量 构成 并 理解 流量 
用 途 的 完整 过 程 。 第 7 章 曾 介绍 了 流量 分 析 的 一 种 用 途 : 为 容量 规划 和 网 络 优化 构建 流量 矩阵。 
由 于 分 析 正 常 流量 模式 有 助 于 管理 员 监 测 异 常 状 况 的 发 生 ， 因 此 流量 分 析 的 结果 还 能 用 于 异常 
检测 和 故障 诊断 。 

迄今 为 止 ， 很 多 工具 都 能 够 帮助 管理 员 进 行 流 量 分 析 。 人 例如， 管理 员 可 以 使 用 数据 包 分 析 器 
来 检查 给 定 链 路 上 的 数据 包 。 除 此 之 外 ， 管 理 员 还 可 以 使 用 RMON MIB 和 SNMP 来 收集 多 个 链 
路 上 的 统计 数据 。 

由 于 数据 包 分 析 器 或 RMON 客户 端 每 次 只 能 分 析 一 个 数据 包 ， 因 此 这 些 工具 无 法 揭示 数据 
包 之 间 的 关系 。 也 就 是 说 ， 数 据 包 分 析 妖 会 读 取 数据 包 ， 检 查 报 头 ， 更 新 统计 信息 和 计数 器 ， 并 
移动 至 下 一 个 数据 包 ， 不 断 重复 这 个 过 程 。 因 此 ， 数 据 包 分 析 器 无 法 确定 数据 包 是 否 发 送 到 同一 
个 目标 地 址 ， 也 无 法 报告 数据 包 序 列 是 否 属于 某 个 会 话 的 组 成 部 分 。 实 质 上 ， 对 单个 数据 包 的 检 
查 导致 分 析 髓 只 能 收集 基本 统计 数据 。 例 如 ， 数 据 包 分 析 器 能 够 告知 管理 员 电 子 邮件 信息 占 所 
测 流量 的 百分比 ， 但 是 它 无 法 获得 发 送 的 独立 电子 邮件 消息 的 总 数 。 要 点 : 


由 于 数据 包 分 析 器 或 RMON MIB 只 能 评估 独立 的 数据 包 ， 因 此 它们 只 能 提供 聚合 统计 








11.3 数据 流 抽象 


要 深信 理 解 网 络 流量 ， 管 理 员 必 须 对 包含 连续 数据 包 的 通信 过 程 进行 评估 ， 还 需要 对 流量 
的 源 地 址 和 目标 地 址 、 使 用 的 协议 以 及 应 用 程序 之 间 的 通信 细节 进行 评估 。 例 如 ， 管 理 员 可 能 需 
要 了 解 在 网 络 中 传输 的 电子 邮件 消息 的 平均 长 度 、 中 值 长 度 和 最 大 长 度 ，VoIP 电话 呼叫 的 平均 
持续 时 间 ， 或 者 在 给 定 链 路 上 同时 产生 的 TCP 连接 的 最 大 数目 。 

为 了 理解 涉及 多 个 数据 包 的 通信 思想， 本 章 定 义 了 一 个 抽象 概念 一 一 数据 流 (flow)。 
我 们 认为 ， 全 部 网 络 流量 都 能 够 被 划分 成 不 相交 的 数据 流 集合 ， 并 根据 基础 数据 流 对 其 进 
行 评 售 。 

要 使 数据 流 的 定义 足够 灵活 并 适用 于 任何 通信 过 程 ， 就 不 能 对 这 个 抽象 概念 进行 精确 定义 。 
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相反 的 ， 管 理 员 可 以 以 很 多 方式 应 用 这 个 概念 。 例 如 ， 管 理 员 可 以 将 两 个 应 用 程序 之 间 的 每 一 次 
通信 定义 为 一 种 数据 流 类 型 。 此 外 ， 管 理 员 还 可 以 粗略 定义 流量 ， 认 为 所 有 发 送 到 特定 Web 服 
务 器 的 数据 包 都 属于 某 个 数据 流 的 一 部 分 。 可 归纳 如 下 : 





直观 的 说 ， 每 类 数据 流 都 与 一 系列 相互 关联 的 数据 包 对 应 。 数 据 流 的 定义 应 该 充分 通 
用 ， 以 便于 管理 员 以 多 种 方式 应 用 这 个 概念 。 








11.4 两 种 数据 流 类 型 

数据 流 可 以 被 划分 为 以 下 两 种 基本 类 型 

。 单 向 数据 流 

。 双 向 数据 流 | | 

1) 单 向 数据 流 : 顾名思义 ， 单 向 数据 流 是 指 在 同一 个 方向 上 传输 的 流量 (例如 ， 从 一 个 方 
向 通过 链 路 ) 。 由 于 计算 机 通信 是 双向 的 ， 因 此 从 表面 上 看 ， 单 向 数据 流 是 无 用 的 一 一 即使 数据 
单 向 传送 ， 协 议 仍然 要 反 向 发 送 请 求 和 响应 消息 。 然 而 ， 单 向 数据 流 的 情况 却 最 为 普遍 。 原 因 在 
于 ， 网 络 中 的 大 多 数 链 路 都 是 全 双 工 〈full duplex) 链 路 ， 这 意味 着 双向 的 数据 传输 相互 独立 。 
因此 ， 当 管理 员 分 析 一 条 全 双 工 链 路 上 的 流量 时 ， 要 将 它 当成 两 条 独立 的 单 向 传输 链 路 。 使 用 单 
向 数据 流 抽 象 ， 管 理 员 还 可 以 处 理 非 对 称 路 由 。 在 非 对 称 路 由 中 ， 从 一 个 方向 发 来 的 数据 会 转发 
到 另 一 条 不 同 的 路 径 上 ， 而 不 会 按照 相反 方向 转发 。 

2) 双向 数据 流 : 双向 数据 流 能 够 记录 两 个 通信 实体 之 间 的 全 部 通信 过 程 ， 包 括 双向 传输 的 
数据 包 。 在 某 种 环境 下 ， 应 用 程序 在 每 个 方向 上 发 送 的 数据 包 总 数 大 臻 相同， 并且 在 两 个 应 用 程 
序 之 间 传 送 的 数据 包 都 沿 着 一 条 路 径 ， 同 方向 无 关 ， 双 向 数据 流 在 对 上 述 环境 的 评估 中 最 为 有 
用 。 然 而 ， 只 有 极 少数 协议 会 在 不 同方 向 上 传送 总 量 相同 的 数据 。 因 此 ， 双 向 数据 流 的 应 用 不 如 
单 向 数据 流 那样 广泛 。 总 结 : 





虽然 大 多 数 计 算 机 通信 过 程 涉及 双向 数据 包 交 换 ， 但 是 由 于 单 向 数据 流 的 通用 性 和 灵 
活性 较 双向 流量 更 高 ， 因 此 单 向 数据 流 的 应 用 更 为 广泛 。 









当然 ， 一 个 特定 工具 可 能 会 限制 管理 员 必 须 使 用 其 中 一 种 流量 抽象 类 型 。 例 如 ,一 种 普遍 使 
用 的 流量 技术 可 能 只 允许 管理 员 定 义 并 分 析 单 向 数据 流 。 更 重要 的 是 ， 即 使 一 种 工具 允许 管理 
员 定 义 双 疝 数据 流 ， 而 当 两 个 方向 的 传输 数据 没有 通过 公共 节点 时 ， 收 集 双向 数据 流 数据 也 是 
无 法 实现 的 。 


11.5 数据 流 分 析 的 目的 


数据 流 分 析 是 指 对 流量 数据 进行 分 析 的 过 程 。 现 在 有 很 多 工具 都 能 帮助 管理 员 分 析 数 据 流 
数据 并 显示 分 析 结 果 。 通 凋 ， 数 据 流 分 析 串 能 够 产 出 图 形 化 输出 结 采 ， 使 用 不 同 颜色 区 分 不 同类 
型 的 信息 。 

很 多 例子 都 能 够 说 明 数 据 流 分 析 是 一 种 非常 重要 的 技术 。 下 面 给 出 的 例子 并 非 毫 无 遗漏 ， 
但 是 它们 能 够 说 明 数 据 流 分 析 的 几 种 可 能 的 用 途 。 

e 流量 特征 : 数据 流 分 析 有 助 于 管理 员 了 解 网 络 流量 的 构成 。 例 如 ， 管 理 员 能 通过 协议 类 

型 、 应 用 程序 或 是 标 地 址 等 方式 得 到 流量 的 显示 绪 采 。 
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e 吞 吐 量 评估 : 数据 流 数据 能 够 帮助 管理 员 评 佑 网 络 的 吞吐 量 。 

。 审计 和 计 费 : 数据 流 数据 能 用 于 计算 使 用 某 种 服务 应 缴纳 的 费用 。 

© 输入 /输出 流量 比较 : 数据 流 分 析 的 一 个 重要 应 用 是 将 某 个 站 点 的 输入 流量 和 输出 流量 进 
行 对 比 。 | 

e 服务 质量 保证 : 数据 流 分 析 能 够 判定 是 否 达 到 了 QoS 的 目标 。 

o RR: 数据 流 分 析 能 够 用 于 监测 异常 事件 或 流量 变化 。 

。 安全 性 分 析 : 数据 流 分 析 能 帮助 管理 员 识 别 拒绝 服务 攻击 以 及 病毒 或 蠕虫 的 传播 。 

e 实时 故障 排除 和 诊断 ， 当 出 现 问题 时 ， 实 时 数据 流 分 析 能 帮助 管理 员 确定 问题 发 生 的 
原因 。 

。 事后 讨论 : 历史 数据 流 数据 能 用 于 评估 导致 问题 的 根本 原因 和 前 期 事件 。 

。 容量 规划 : 正如 第 7 章 所 述 ， 流量 和 矩阵 是 容量 规划 的 基础 ， 数 据 流 分 析 能 用 于 构建 流量 
矩阵。 

e 应 用 程序 测量 和 规划 : 除了 全 局 规划 之 外 ， 管 理 员 还 能 根据 数据 流 分 析 追 踪 独 立 的 应 用 
程序 。 例 如 ， 数 据 流 分 析 能 帮助 管理 员 对 到 达 某 个 服务 器 的 流量 源 地 址 进行 监控 。 


11.6 数据 流 汇 聚 级 别 


从 直观 上 说 ， 每 个 独立 数据 流 都 对 应 于 两 个 端点 之 间 的 一 次 通信 。 然 而 ， 数 据 流 抽象 的 灵活 
性 很 高 ， 它 允许 管理 员 选 择 该 定义 的 一 种 应 用 粒度 。 当 然 ， 某 些 工具 会 对 这 种 选择 加 以 限制 。 在 
实践 中 ， 大 多 数 工 具 人 允许 管理 员 通 过 指定 数据 包 报 头 字段 给 出 数据 流 定 义 ， 有 些 工 具 还 包含 临 
时 规定 〈 例 如 ， 有 共有 相同 头 部 域 的 数据 包 只 有 在 30 秒 的 时 间 间 隔 内 出 现 才 被 认为 是 同一 个 数据 
流 的 组 成 部 分 ) 。 

数据 流 汇聚 (flow aggregation) 是 指 集中 测量 多 个 独立 通信 过 程 ， 汇 聚 级 别 (level of aggre- 
gation) 是 指 汇聚 的 粒度 。 有 些 例子 会 根据 汇聚 的 概率 来 阐明 这 个 概念 。 管 理 员 可 以 通过 以 下 内 
容 选 择 汇 聚 数据 流 : 

e IP 地址 

。 了 网 络 元 素 接口 

o 传输 协议 类 型 

es 应 用 类 型 

e 内容 引用 

© 应 用 端点 

1) 下地 址 : 当 使 用 瑟 地 址 进行 流量 汇聚 时 ， 数 据 流 分 析 器 会 将 具有 相同 IP 地 址 的 数据 包 
分 成 一 组 。 例 如 ， 如 果 管 理 员 通过 源 P 地 址 进行 汇聚 ， 来 自 同一 个 计算 机 的 数据 包 都 汇聚 合成 
一 个 流量 ， 这 样 可 以 得 到 与 传输 数据 流 相 关 的 计算 机 总 数 。 通 过 目标 IP 地 址 进行 汇聚 使 管理 员 
可 以 计算 出 目标 地 址 的 总 数 。 同 时 使 用 源 地 址 和 目标 地 址 进行 汇聚 能 够 为 每 一 对 计算 机 创建 通 
信 数 据 流 。 

2) 网 络 元 素 接 口 : 在 很 多 情况 下 ， 管 理 员 更 关注 于 本 地 数据 流 的 行为 ， 而 非 源 地 址 或 
目标 地 址 。 要 了 解 本 地 行为 ， 管 理 员 可 以 使 用 网 络 元 素 的 输入 (ingress) 或 输出 (egress) 
接口 进行 数据 流 汇 聚 。 因 此 ， 要 分 析 路 由 器 中 每 个 接口 的 外 出 流量 ， 管 理 员 可 以 使 用 输出 
接口 进行 汇聚 。 同 样 ， 要 确定 某 个 网 络 元 素 的 流量 和 矩阵， 管理 员 需 要 同时 使 用 输入 和 输出 
接口 进行 汇聚 。 
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3) 传输 协议 类 型 : 基础 协议 分 析 是 数据 流 分 析 的 一 种 特殊 情况 。 要 确定 流量 中 包含 的 协议 
类 型 〈 例 如 ，UDP、TCP、ICMP) ， 管 理 员 可 以 为 每 一 个 协议 类 型 (protocol type) 定义 一 个 数 
据 流 汇聚 。 

4) 应 用 类 型 : 数据 流 分 析 有 助 于 管理 员 了 解 网 络 流量 如 何在 应 用 程序 之 间 划 分 〈 例 如 ， 电 
子 邮件 和 Web 浏览 在 总 体 流量 中 所 占 的 比例 ) 。 要 根据 应 用 程序 划分 流量 ， 管 理 员 就 需要 根据 目 
标 地 址 的 协议 端口 号 (protocol port number) 进行 数据 流 汇聚 。 由 于 已 为 每 个 应 用 程序 分 配 了 一 
个 特定 的 端口 ， 因 此 每 组 数据 流 汇聚 结果 都 对 应 不 同 的 应 用 程序 。 

5) 内 容 引 用 : 有 些 流量 分 析 工 具 能 够 提供 深度 数据 包 检 测 (deep packet inspeotion) ， 这 意 
味 者 管理 员 能 在 数据 流 定 义 中 添加 数据 包 中 的 任意 数据 项 。 使 用 深度 数据 包 检 测 工 具 ， 管 理 员 
就 能 定义 同 每 个 请 求 相对 应 的 数据 流 。 例 如 ,管理 员 能 为 每 个 网 页 定义 一 个 数据 流 ， 并 使 用 数据 
Tit ot Oy ae Be EE BES PY TK o 

6) 应 用 端点 : 要 了 解 通 信 细 节 ， 管 理 员 可 以 定义 对 应 于 两 个 端点 之 间 通 信 过 程 的 数据 流 ， 
其 中 每 个 端点 可 以 根据 源 P 地 址 和 目标 IP 地 址 、 源 协议 端口 号 和 目标 协议 端口 号 以 及 协议 类 型 
等 内 容 的 组 合 进行 标识 。 


11.7 在 线 和 离线 的 数据 流 分 析 


正如 前 文 所 提 到 的 ， 数据 流 分 析 工 具 可 分 为 以 下 两 类 : 

© 在 线 分 析 

© 离线 分 析 

1) 在 线 分 析 : ZR (online) 是 指 实时 进行 数据 流 分 析 ， 即 收集 到 的 数据 流 数据 会 被 立即 
送 到 分 析 程 序 进 行 处 理 。 而 且 ， 在 线 分 析 提 供给 管理 员 的 显示 结果 能 够 随时 间 的 变化 而 持续 
更 新 。 

管理 员 通 前 认为 在 线 工 具 的 显示 结果 会 实时 更 新 ， 并 且 会 在 问题 出 现时 使 用 在 线 工 具 进 行 
诊断 。 从 实践 意义 上 说 ， 流 量 更 改 同 管理 员 显 示 结 果 的 更 新 之 间 存 在 一 个 很 小 的 时 间 延 迟 。 事 件 
发 生 和 结果 显示 之 间 的 时 间 差 蜡 同 很 多 因素 有 关 ， 其 中 包括 管理 员工 作 站 的 速度 、 汇 聚 级 别 、 分 
本 执行 过 程 的 复杂 度 ， 以 及 从 测量 点 到 分 析 计 算 点 之 间 传 输 数据 的 时 间 延 迟 。 因 此 ， 要 降低 延迟 
时 间 ， 管 理 员 可 以 使 用 高 速 计算 机 ， 将 计算 机 〈 例 如 ， 便 携 式 计算 机 ) 放置 在 离 数 据 流 数据 源 
地 址 更 近 的 位 置 ， 提 高 汇聚 级 别 ， 或 者 降低 计算 或 显示 的 复杂 度 。 

2) 离线 分 析 : 离线 (offline) 是 指 将 收集 并 存储 数据 流 数 据 后 再 进行 分 析 。 例 如 ， 离 线 分 
析 可 以 每 晚 执行 一 次 ， 处 理 24 小 时 时 间 段 内 的 所 有 数据 流 数据 。 

离线 分 析 对 于 事后 情况 处 理 非 常 重要 ， 例 如 法 医 鉴定 或 事先 无 法 获得 精确 数据 的 情况 。 离 
线 分 析 的 主要 优点 在 于 计算 过 程 不 受 时 间 的 限制 。 因 此 ， 离 线 分 析 不 会 强制 管理 员 进 行 流量 汇 
聚 ， 相 反 ， 它 能 够 计算 平滑 数据 流 的 数据 〈 例 如 ， 每 个 数据 流 对 应 一 个 应 用 终端 ) 。 此 外 ， 离 线 
分 析 可 以 对 生成 复杂 显示 结果 的 任意 计算 过 程 进行 操作 。 


11.8 数据 流 数据 分 析 示 例 


现在 有 多 种 工具 可 用 于 分 析 数 据 流 并 显示 结果 。 例 如 ， 现 有 工具 能 够 显示 以 下 内 容 : 
。 玉昌 /到达 每 个 自治 系统 的 流量 比例 





O 在 实践 中 ， 由 于 必须 指明 协议 类 型 并 且 从 服务 器 端 发 送 到 客户 端的 数据 包 在 源 端 口 域 中 都 具有 一 个 众所周知 的 
端口 ， 因 此 ， 这 个 定义 会 更 加 复杂 。 
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。 通 过 协议 对 比 输入 和 输出 流量 

e 探测 大 量 协 议 端 口 的 主机 

© 不 同 协议 类 型 占据 的 流量 比例 

e 活跃 的 IP 地 址 总 数 

e 不 同 设备 接口 占据 的 流量 比例 

o 出 现 的 新 数据 流速 率 

数据 流 分 析 工 具 的 一 个 有 趣 之 处 在 于 它们 能 够 使 用 图 形 输出 方式 以 及 色彩 。 例 如 ， 显 示 流 
量 比例 的 工具 通常 使 用 动态 饼 图 ， 其 中 每 部 分 的 面积 随 着 新 数据 流 数据 的 变化 而 变化 。 在 给 定 
时 间 内 ， 动 态 饼 图 是 评估 流量 组 成 的 一 种 简便 方式 。 图 11-1 给 出 了 一 个 依 协议 划分 流量 的 动态 

饼 图 示例 。 


“文件 传输 





图 11-1 依据 不 同 协议 类 型 显示 流量 比例 的 动态 饼 图 。 在 计算 机 显示 中 ， 
动态 饼 图 会 不 断 变化 ， 以 实时 反映 当前 接收 到 的 数据 流 数据 


要 观察 和 了 解数 据 流量 随时 间 的 变化 趋势 ， 管 理 员 可 以 使 用 时 间 级 数 图 显示 流量 组 
成 的 历史 数据 。 典 型 的 时 间 级 数 图 使 用 不 同 的 颜色 表示 不 同类 型 的 流量 。 例 如 ，y 轴 可 
以 表示 每 种 类 型 所 占 的 比例 ，x 轴 表 示 随 时 间 的 变化 量 。 图 11-2 给 出 了 传输 不 同 数据 的 
流量 所 占 比 例 的 时 间 级 数 图 ， 这 些 数据 类 型 包括 网 页 数据 、 电 子 邮件 、 文 件 传输 以 及 其 
他 应 用 。 

顾名思义 ,时间 级 数 图 会 不 断 进行 更 新 。 在 图 表 中 ， 右边 表示 新 的 测量 结果 ， 原 有 的 
测量 数据 会 移动 到 图 形 的 左边 。 因 此 ， 管 理 员 可 以 通过 图 形 的 位 置 观察 过 去 10 小 时 内 的 流 

量变 化 趋势 。 
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图 11-2 显示 三 种 主要 应 用 所 占 流 量 比例 的 时 间 级 数 图 。 新 数据 显示 在 图 形 的 右边 ， 
原 有 数据 不 断 移 动 到 左边 。 在 计算 机 显示 中 ， 使 用 不 同 颜色 标识 不 同 流量 类 型 


11.9 数据 流 数据 捕获 和 过 滤 - 


在 执行 数据 流 分 析 之 前 ， “REAR (conte) ARH, 可 以 采用 以 下 两 种 方式 

o 被动 数据 流 捕 获 

© 主动 数 据 流 捕获 

1) 被 动 数 据 流 捕 获 : 在 被 动 (passive) 数据 流 捕获 中 ， 用 于 收集 数据 流 信息 的 硬件 和 用 于 
转发 、 处 理 数据 包 的 硬件 相互 分 离 。 例 如 ， 如 果 要 在 两 个 设备 之 间 插 入 以 太 网 集线器 ， 被 动 监控 
设备 就 能 在 混杂 模式 下 通过 对 集线器 的 侦 听 而 获得 每 个 数据 包 的 副本 。 另 外 ， 有 些 虚 拟 局 域 网 
交换 机 提供 的 镜像 端口 (mirror port) 4 圣 过 配置 后 能 够 接收 在 指定 虚拟 局 域 网 中 传输 的 所 有 数据 
包 的 副本 。 分 光 器 可 以 在 光纤 中 进行 被 动 捕获 : 分 光 器 能 够 对 光纤 中 传输 的 光 进 行 复制 ， 并 将 这 
个 副本 发 送 到 被 动 监控 设备 。 无 论 在 哪 种 情况 下 ， 数 据 包 捕 获 都 不 会 影响 底层 网 络 ， 也 不 会 影响 
数据 包 传输 。 图 11-3 是 在 两 个 网 络 元 素 之 间 的 链 路 上 插入 数据 流 采集 器 的 示意 图 。 





图 11-3 在 网 络 元 素 E, ME, 之 间 的 链 路 上 插 人 分 光 器 进行 被 动 数据 流 捕获 。 
数据 流 采集 器 会 接收 在 链 路 中 传送 的 所 有 数据 包 的 副本 


如 图 所 示 ， 从 一 条 链 路 上 捕获 的 数据 流 信 息 能 够 帮助 管理 员 了 解 多 个 网 络 中 的 传输 流量 。 
例如 ， 图 中 穿 过 中 心 链 路 的 数据 流 包含 左边 网 络 和 右边 网 络 之 间 的 传输 流量 。 菜 组 织 同 Internet 
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之 间 的 链 路 是 一 种 特殊 情况 ， 原 因 在 于 捕获 该 链 路 上 的 数据 流 能 够 帮助 管理 员 了 解 该 站 点 同 In- 
ternet 之 间 的 数据 传输 。 

2) 主动 数据 流 捕获 : 在 主动 数据 流 捕获 中 ， 传 统 网 络 元 素 需 要 增加 额外 的 硬件 和 /或 软件 
才能 捕获 数据 流 信息 。 例 如 ， 如 果 一 个 路 由 圳 包含 了 插 人 底盘 的 刀片 式 设 备 ， 那 么 这 个 路 由 器 可 
以 使 用 一 个 额外 的 刀片 式 设备 对 底板 进行 监控 并 提取 数据 流 信 息 。 另 外 ， 使 用 特殊 硬件 能 在 网 
络 元 素 的 正常 数据 包 处 理 模块 中 添加 数据 流 捕获 的 功能 。 图 11-4 是 一 个 附加 到 路 由 器 的 数据 流 
Bean | , 





图 11-4 路 由 器 进行 的 主动 数据 流 捕获 示意 图 。 路 由 器 能 报告 任意 两 个 网 络 之 间 的 传输 流 基 

主动 捕获 和 被 动 捕获 两 种 方式 各 有 优 缺 点 。 被 动 捕获 的 主要 优点 在 于 它 的 非 干扰 特性 一 
被 动 系统 的 信息 采集 不 会 降低 或 改变 网 络 传输 速率 。 然 而 ， 大 多 数 被 动 技术 仅 能 捕获 单个 虚拟 
局 域 网 或 单条 链 路 中 的 流量 信息 。 

主动 捕获 系统 的 优点 在 于 它 能 够 获得 在 特定 网 络 元 素 中 传输 的 所 有 数据 包 的 信息 。 因 此 ， 
运行 在 路 由 器 中 的 主动 捕获 机 制 能 够 报告 任意 两 个 接口 之 间 的 数据 包 流 量 ， 同 时 ， 一 个 大 型 路 
由 器 能 够 连接 多 个 网 络 。 另 外 ， 路 由 器 可 以 利用 数据 流 信息 提高 数据 转发 性 能 。 然 而 ， 主 动 捕获 
机 制 要 求 网 络 元 素 具备 额外 的 硬件 和 软件 。 


11. 10 数据 包 检 查 和 分 类 


要 了 解数 据 流 捕获 的 工作 原理 和 配置 方法 ， 就 要 了 解数 据 包 布 局 和 处 理 的 基本 内 容 。 A 
将 通过 实例 解释 相关 概念 ， 而 不 会 详细 讨论 协议 的 具体 细节 。 为 了 简化 说 明 过 程 ， 我 们 就 以 包含 
Web 服务 器 请 求 的 以 太 网 数据 包 为 例 。 数 据 包 内 容 包括 以 太 网 报头 、 焉 报头 和 TCP 报头 ， 这 些 
报头 字段 都 位 于 HTTP 请 求 之 前 。 图 11-5 给 出 了 各 个 协议 的 头 部 域 在 数据 包 中 的 排列 方式 。 

以 太 网 报头 IP 报 头 TCP 报 头 HTTP 请 求 消息 





pery 国 
cod a 
ae a 


以 太 网 类 型 域 IP 协 议 域 TCP 端 口号 
图 11-5 一 个 包含 Web 请求 的 数据 包 报头 字段 排列 示意 图 。 
每 个 报头 都 包含 了 一 个 说 明 后 续 报 头 类 型 的 字段 
如 图 所 示 ， 每 个 报头 都 包含 了 一 个 说 明 后 续 报 头 类 型 的 字段 。 以 太 网 报头 中 的 “类 型 ” 字 
段 包 含 十 六 进 制 数值 0800 ， 表 示 该 数据 包 中 包括 IP HER. IP 数据 报 中 的 “协议 ”字段 的 值 为 
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6， 表 示 该 数据 报 包含 TCP 数据 段 。TCP 报头 中 的 “目标 地 址 端口 号 ”字段 的 值 为 80， 表 示 数 
据 包 的 目标 地 址 是 一 个 Web 服务 右 。 需 要 注意 的 是 ， 数 据 流 采集 占 无 需 检查 整个 数据 包 来 确定 
其 目标 地 址 ， 相 反 ， 它 只 需要 检查 以 太 网 类 型 、 卫 协议 以 及 TCP 目标 端口 号 三 个 字段 。 如 果 这 
三 个 字段 的 值 是 正确 的 ， 那么 就 能 肯定 该 数据 包 的 目标 地 址 是 一 个 Web 服务 器 。 

我 们 使 用 术语 “分 类 ” (classification) .来 描述 检查 报头 中 选 定 字段 的 过 程 ， 并 由 网 络 元 素 对 
数据 包 进 行 分 类 〈classify ) 。 分 类 的 速度 比 数据 包 整 体 处 理 的 速度 更 快 ， 并 且 可 以 采用 专门 的 分 
人 更 重要 的 是 ， BAT REE RIR RRE BLUSE, FE E SPRE BI 3 
值 组 合 


歼 据 流 采 集 器 会 检查 每 个 数据 包 中 渤 定 的 报头 字段 并 根据 检查 结果 对 数据 包 分 类 。 





有 些 硬 件 还 能 优化 分 类 过 程 。 


了 解 下 层 系统 可 以 使 用 分 类 对 数据 包 进 行 处 理 有 助 于 理解 数据 流 的 配置 。 例 如 ， 流 量 捕获 
过 程 中 的 计算 量 与 要 检查 的 报头 字段 总 数 之 间 成 正比 例 。 因 此 ， 如 果 只 使 用 少量 报头 字段 进行 
数据 流 汇聚 ， 那 么 汇聚 过 程 的 效率 会 更 高 。 例 如 ， 如 果 通 过 传输 协议 进行 汇聚 ， 那 么 数据 流 采集 

船只 需要 检查 两 个 字段 : 以 太 网 类 型 字段 〈 验 证 数据 包 内 包含 IP AGIR) 和 了 下 报 头 中 的 协议 字 
段 〈 检 查 IP 数据 报 中 的 协议 类 型 ) 。 


11. 11 在 线 和 离线 分 析 的 捕获 


本 章 已 经 讨论 过 在 线 和 离线 的 数据 流 分 析 ; 二 者 的 区 别 对 于 数据 流 捕获 结果 具有 重要 意义 。 
严格 遵循 在 线 分 析 范 型 意味 着 数据 流 采集 器 必须 在 数据 包 到 达 时 就 对 它们 进行 分 类 。 离 线 分 析 
范 型 虽然 无 需 即 时 进行 数据 包 分 类 ， 但 是 数据 流 采 集 器 必须 存储 数据 包 的 全 部 信 息 并 允许 分 析 
软件 稍 后 对 数据 包 进 行 数据 流 划 分 。 | 

在 江 和 融 线 两 种 万 式 之 辣 的 区 别 之 所 以 至 关 量 要 ， 是 由 于 以 下 两 个 原因 ， 

o 普遍 性 

© 资源 需求 

1) 首 遍 性 由 于 离线 系统 存储 的 是 原始 数据 ， 因 此 它 能 为 管理 员 提供 更 多 信息 。 特 别 的 ， 
离线 范 型 允许 管理 员 多 次 运行 分 析 工 具 ， 并 采用 不 同 的 汇聚 方式 。 因此 ， 管理 员 可 以 先 根据 协议 
进行 数据 流 汇聚 ， 然 后 再 根据 IP 目标 地 址 对 相同 的 数据 再 次 进行 汇聚 。 

2) 资源 需求 : 离线 系统 的 主要 缺点 在 于 存储 容量 的 需求 较 大 。 为 避免 随意 圳 用 磁盘 空间 ， 
离线 系统 需要 将 信息 捕获 的 持续 时 间 限 制 在 很 短 的 时 间 内 ，， 或 者 使 用 统计 采样 ( 例如， 每 一 干 
个 数据 包 中 处 理 一 个 数据 包 ) 减少 数据 总 量 。 每 一 种 方法 都 无 法 适用 于 所 有 情况 ; 缩短 生存 期 
使 得 管理 员 无 法 对 流量 进行 精确 描述 ， 而 采样 则 会 增加 结果 误差 。 更 重要 的 是 ， 知 果 管理 员 仅仅 
关注 某 种 数据 流 汇聚 ， 那么 尽早 进行 数据 包 分 类 能 够 减 小 数据 总 时 并 延长 生存 期。 


11. 12 数据 包 内 容 数据 流 


前 几 节 对 数据 包 报头 和 数据 流 分 类 的 讨论 忽 略 了 一 个 重要 AR: 粮 据 数据 包 的 内 容 识 别 数 
据 流 。 例 如 ， 如 果 管 理 员 使 用 网 址 划分 Web 服务 器 的 流量 会 出 现 什么 情况 ?也 就 是 说 ， 假定 Ex- 
ample 企业 的 管理 员 管理 的 V Web 服务 器 为 example, com, 管理 员 可 能 会 为 所 有 问 以 下 网 址 提出 请 


O ER, 分 类 器 还 必须 检查 全 报头 中 的 选项 是 否 存在 ， 因为 选项 的 长 度 会 改变 后 继 报 头 的 位 置 。 
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求 的 数据 传输 定义 一 个 数据 流 : 
“www. example. com 
BLO T REO FR AEX 个 数据 流 : 
, www. example. com/ products 

以 此 类 推 ， 管 理 员 会 针对 服务 器 提供 的 所 有 网 址 进行 数据 流 定义 。 从 管理 员 的 角度 来 看 ， 为 每 一 
个 网 址 定义 一 个 数据 流 似乎 与 根据 每 个 协议 定义 一 个 数据 流 一 样 简单 。 然 而 ， 从 数据 流 采 集 带 
的 角度 来 看 ， 依 据 网 址 和 依据 协议 定义 数据 流 之 间 有 着 很 大 差异 ， 原 因 在 于 网 址 并 非 位 于 报头 
字段 的 固定 位 置 。 因 此 ,数据 流 采 集 器 必须 检查 数据 包 的 内 容 《〈《 即 解析 HTTP 消息 并 提取 网 
址 ) 。 这 个 过 程 称 为 深度 数据 包 检 测 (deep packet inspection) ， 它 比 从 协议 报头 中 提取 固定 字段 
的 内 容 需 要 的 计算 资源 更 多 。 因 此 ， 进 行内 容 检 测 的 分 析 妖 比 检查 报头 中 国定 字段 的 分 析 器 的 
处 理 速 度 更 慢 。 总 结 : 


基于 深度 数据 包 检 测 的 数据 流 定义 会 至 对 两 的 开销 ， ABH RAE BAR Hl 固定 报 
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11.13 ER 


虽然 数据 流 捕获 和 数据 包 转发 看 似 毫 不 相关 ， 但 事实 上 并 非 如 此 一 一 用 于 数据 流 分 析 的 数据 同 
样 可 用 于 优化 数据 包 转发 。 要 理解 其 中 的 原因 ， 可 以 考虑 高 站 IP 路 由 器 中 的 数据 包 转 发 过 程 。 当 
有 数据 包 到 达 时 ， 路 由 器 会 检查 数据 包 的 类 型 字段 以 验证 其 中 是 否 包 含 四 数据 报 ， 提 取 了 四 目标 地 
址 ， 并 根据 目标 地 址 查找 路 由 表 。 每 一 个 路 由 表 项 都 会 指明 数据 包 转 发 的 下 一 跳 地 址 和 接口 。 

要 优化 转发 过 程 ， 路 由 器 会 将 数据 流 分 类 同 转 发 高 速 缓存 《forwarding cache) 相 结合 。 数 据 
流 技术 的 应 用 很 简单 ， 路 由 器 使 用 分 类 硬件 提取 数据 包 中 用 于 流量 识别 的 字段 。 从 数学 角度 看 ， 
分 类 是 从 数据 包 到 数据 流 的 映 射 这 程 : | 
分 类 : 数据 包 -数据 流 
典型 的 ， 每 个 数据 流 都 会 被 分 配 一 个 整数 类 型 的 数据 流标 识 符 (数据 流 四) ， 而 分 类 会 将 数据 包 
映射 到 某 个 数据 流 ID. | 

假定 这 样 给 出 数据 流 定义 : 某 个 数据 流 中 的 所 有 数据 包 都 转发 到 相同 的 下 一 中 地址， 使 用 
数据 流标 识 符 的 转发 过 程 无 需 再 次 检查 报头 字段 。 也 就 是 说 ， 需要 维护 一 个 从 数据 流 ID 到 下 一 
跳 地 址 信息 的 独立 映射 关系 : | 

RR: 数据 流 ID_, 下 一 跳 信息 
典型 的 ， 英 身 关系 会 在 内 存 中 以 表 的 形式 实现 ， 数据 流 ID 可 以 作为 表 的 索引 。 

使 用 高 速 缓存 的 目的 在 于 : 转发 高 速 缓 存 是 一 个 局 速 便 件 机 制 ， 它 能 够 提高 由 数据 流 ID 到 
下 一 跳 信 息 的 映射 速度 。 高 速 缓存 的 操作 速度 高 于 内 存 ， 它 保存 当前 数据 流 映射 的 集合 。 看 一 个 
数据 包 经 分 类 后 生成 的 数据 流 ID 为 了 硬件 就 会 检查 转发 高 速 缓存 。 如 果 高 速 缓存 中 包含 f 的 映 
射 ， 路 由 器 就 直接 从 高 速 缓存 中 提取 下 一 跳 信息 并 转发 数据 包 。 否 则 ; 路 由 器 会 从 内 存 的 表 中 提 
取 下 一 跳 信 息 ， 将 信 . 筷 的 副本 放 人 人 高速 缓存 以 便 进行 后 继 数 据 包 的 处 理 ， 然后 转发 当前 数据 包 。 

在 待 处 理 的 数据 包 来 自 相同 数据 流 的 概率 较 高 的 情况 下 ， 高 速 缓存 能 够 优化 执行 性 能 
某 数据 流 中 的 第 一 个 数据 包 需 要 进行 查 表 操作 ， 而 后 继 数 据 包 的 转发 信息 就 可 以 直接 从 高 速 组 
存 中 提取 。 参 照 时 间 局 域 性 (temporal locality of reference) 是 指 重复 操作 的 概率 。 幸 运 的 是 ， 经 
验 表明 ， 大 多 数 网 络 都 表现 出 高 度 的 参照 时 间 局 域 性 。 因 此， 转发 高 速 缓存 能 够 显著 提 商 路 由 融 
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的 性 能 。 在 本 章 的 后 几 节 中 ， 我 们 将 了 解 到 性 能 提高 是 捕获 数据 流 数 据 的 主要 动机 ， 很 多 设备 都 
使 用 独立 高 速 缓存 维护 数据 流 信息 。 
Mg, 


40 =H . 


虽然 数据 流 分 析 同 数据 包 转 发 看 似 毫 无 关联 ， 但 是 时 间 局 域 性 使 得 路 由 器 硬件 能 够 通 


过 将 数据 流 分 类 硬件 和 转发 高 速 缓存 相 结 合 的 方式 提高 转发 性 能 。 





11.14 数据 流 数据 得 出 


数据 流 数 据 输出 〈flow data export) 是 指 发 送 数据 流 数据 的 源 节点 同 其 他 设备 之 间 的 通信 。 
在 通常 情况 下 ， 数 据 流 数据 源 是 一 个 路 由 器 ， 输 出 数据 流 数 据 的 目标 地 址 是 运行 在 管理 员工 作 
站 中 的 数据 流 分 析 应 用 程序 。 数 据 流 数据 输出 包括 以 下 两 个 问题 : 

© 应 采用 什么 格式 描述 输出 数据 ? 

。 应 采用 什么 协议 传输 输出 数据 ? 

1) 格式 : 格式 问题 的 关键 在 于 数据 流 数据 的 表示 形式 。 在 信息 总 量 和 性 能 之 间 需 要 达 到 一 
种 平衡 。 一 方面 ， 如 果 数 据 发 送 量 最 大 ， 那 么 接收 方 就 能 够 确定 哪些 是 重要 的 数据 ， 从 而 丢弃 无 
用 数据 。 另 一 方面 ， 由 于 数据 流 数据 的 传输 会 占用 网 络 带宽 ， 因 此 传输 无 用 信息 会 浪费 带宽 和 存 
储 空间 等 资源 。 

在 格式 选择 中 ， 要 关注 元 数据 ( 即 所 采集 数据 的 信息 )。 例 如 ,数据 流 输出 系统 通常 包括 时 
间 稚 ， 它 能 在 每 个 消息 的 生成 时 间 不 产生 二 义 性 的 条 件 下 人 允许 接收 方 保存 输出 信息 以 便 进行 后 
续 分 析 。 另 外 ， 元 数据 中 还 包含 捕获 数据 的 设备 标识 。 | 

2) 协议 : 协议 的 问题 涉及 传输 系统 的 范围 和 普遍 性 。 一 方面 ， 如 果 传 输 机 制 采用 第 二 层 协 
W, 数据 流 数据 仅 能 在 一 个 网 络 中 传送 ,并 且 接 收 系统 也 必须 使 用 第 二 层 协 议 。 为 一 方面 ， 使 用 
标准 传输 协议 能 使 数据 流 数 据 在 网 络 中 的 传输 具有 普遍 性 , 但 是 这 要 求 发 送 系 统 和 接收 系统 同 
时 具有 IP 地 址 并 且 运 行 TCP/IP 协议 栈 。 

下 一 节 将 介绍 ， 业 界 已 经 采纳 了 一 种 数据 流 输出 技术 作为 事实 上 的 标准 。 该 技术 为 数据 流 数据 
定义 了 表示 形式 ， 并 使 用 UDP 进行 消息 传输 。UDP 的 使 用 意味 着 管理 员 能 将 数据 流 数据 传输 到 任 
意 目标 地 址 ， 原 因 在 于 数据 流 数据 消息 能 够 通过 源 节点 到 目标 地 址 之 问 的 任意 网 络 。 总 结 : 


大 多 数 数据 流 输出 技术 都 采用 UDP 方式 。 因 此 ， 数 据 流 数据 能 够 通过 源 地 址 到 目标 地 


址 之 间 的 多 个 网 络 。 





11.15 NetFlow 技术 的 起 源 


NetFlow 是 一 种 应 用 最 广泛 的 数据 流 技 术 ， 它 由 Cisco System 发 明 。 除 了 Cisco 之 外 ， 包 括 
Juniper Networks 在 内 的 网 络 厂商 在 输出 流量 数据 时 都 遵循 NetFlow 格式 ， 这 意味 着 该 数据 流 分 析 
工具 被 多 个 厂商 所 采用 。NetFlow 中 用 于 输出 数据 流 数据 的 协议 在 RFC 3954 中 发 表 。IETF RH 
NetFlow 的 第 9 版 作为 IPFIX 的 基础 。IPFIX 是 一 种 数据 流 输 出 技术 ， 它 添加 了 安全 性 并 允许 数 
据 流 数据 在 对 拥塞 敏感 的 传输 机 制 中 传递 。 

有 趣 的 是 ， 工 程 师 设计 NetFlow 的 初衷 并 不 是 想 发 明 一 个 用 于 分 析 的 数据 流 数据 输出 系统 。 
相反 的 ， 正 如 11. 13 节 所 述 ，NetFlow 是 一 种 用 于 提高 正路 由 器 转发 速度 的 优化 设计 方案 。 为 使 
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管理 员 监 控 网 络 性 能 ，NetFlow 输出 转发 高 速 缓存 中 的 数据 流 信息 和 性 能 信息 。 当 意识 到 数据 流 
数据 输出 时 ， 客 户 便 开 始 询问 格式 细节 并 创建 数据 流 分 析 工 具 。 


11.16 NetFlow 技术 的 基本 特征 


NetFlow 使 用 主动 数据 流 捕 获 范 型 ， 在 主动 范 型 下 ， 路 由 器 或 交换 机 能 够 记录 数据 流 信息 并 
将 数据 流 数 据 结果 输出 到 外 部 采集 器 。 由 于 NetFlow 是 为 优化 转发 而 设计 的 ， 因 此 它 采用 单 向 数 
据 流 定义 方式 。NetFlow 人 允许 管理 员 榨 制 数 据 采 集 过 程 ， 包 括 指 定数 据 包 采 样 的 能 力 。 最 后 ， 
NetFlow 采用 细 粒 度数 据 流 定义 ， 和 输出 信息 中 同时 包含 数据 流 细节 、 元 数据 (BON). A 
11-6 列 出 了 NetFlow 输出 的 数据 项 示例 。 


NetFlow 的 每 个 版 本 都 会 定义 固定 字段 o 源 IP 地 址 和 目标 IP 地 址 
(fixed field) HRF. EREB, NetFlow 会 维 。 源 协议 端口 号 和 目标 协议 端口 号 
护 内 部 数据 包 转发 的 高 速 缓 在 ， 并 仅 根据 高 速 SP SERORA KRIZE 
缓存 中 的 内 容 输出 信息 。NetFlow 第 9 版 S ERI Ema 


(JETF 使 用 的 版 本 ) 对 基本 范 型 进行 了 扩展 : .AR 
第 9 版 不 再 规定 固定 字段 ， 而 允许 管理 员 通 过 
选择 用 于 数据 流 定义 的 字段 集合 控制 输出 数 
据 。 本 章 余 下 内 容 将 详细 介绍 NetFlow 的 第 9 
版 ”>。 总 结 : 图 11-6 NetFlow 流量 输出 的 数据 项 示例 


。 以 八进制 数 表 示 的 数据 包 长 度 
* 路 由 信息 《例如 ， 下 一 跳 步 地 址 》 





NetFlow 定义 的 数据 流 具 有 单 向 性 ， 并 输出 平滑 信息 。NetFlow 第 9 版 允许 管理 员 控 制 


数据 流 输 出 字段 的 集合 。 





11. 17 扩展 性 和 模板 


如 果 管 理 员 能 够 控制 NetFlow 输出 的 字段 集合 ， 那 么 数据 流 采集 器 如 何 对 输出 消息 进行 解析 
和 理解 ? NetFlow 并 不 要 求 管理 员 为 输出 设备 和 采集 设备 进行 相同 的 配置 ， 它 会 同时 发 送 数 据 和 
描述 信息 来 解决 这 个 问题 。 描 述 信息 中 会 标识 发 送 设 备 ， 并 通过 给 出 每 个 字段 的 类 型 和 长 度 值 
来 指明 数据 记录 中 的 字段 集合 。 因 此 ， 接 收 方 可 以 根据 描述 信息 来 解析 到 达 的 数据 。 更 重要 的 
是 ， 即 使 接收 方 无 法 理解 NetFlow 消息 中 的 所 有 数据 项 ， 也 能 够 根据 描述 信息 提供 的 充足 细 市 忽 
略 那些 无 法 解析 的 数据 项 。 


M ote 


,Lv 一品， 








由 于 NetFlow 发 送 的 额外 信息 能 够 描述 消息 内 容 ， 因 此 管理 员 仅 需要 配置 NetFlow 输出 
设备 。NetFlow 采集 器 能 够 根据 描述 信息 解析 NetFlow 消息 。 








NetFlow 中 的 模板 (template) 是 指 描述 性 信息 。 输 出 NetFlow 数据 的 设备 会 同时 发 送 模 板 和 
数据 。 事 实 上 ， 每 个 模板 都 被 分 配 一 个 ID， 这 意味 着 输出 设备 可 以 通过 为 各 种 数据 类 型 分 配 唯 
一 的 ID 来 输出 多 种 类 型 的 NetFlow 数据 。 例 如 ， 如 果 路 由 器 拥有 四 个 接口 ， 管 理 员 就 能 为 每 个 


O ”本章 将 介绍 路 由 器 的 输出 。Cisce 交换 机 使 用 的 输出 范 型 经 过 了 简单 修改 ， 在 修改 后 的 范 型 中 ， 数 据 流 初始 数 
据 包 的 输出 使 用 NetFlow 第 5 版 ， 而 数据 流 汇总 时 使 用 NetFlow 第 9 版 。 
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接口 选 定 输出 字段 集合 。 该 路 由 器 会 为 每 个 字段 集合 配置 一 个 模板 ID ， 采 集 器 会 根据 数据 记录 
中 的 ID 将 记录 同 特 乍 的 模板 结合 起 来 。 要 瓜 : 


由 于 每 个 模板 都 被 分 配 了 唯一 的 ID， 因 此 给 定 设备 可 以 输出 多 个 相互 独立 的 NetFlow 


数据 集合 ,采集 器 也 能 够 明确 地 解析 输入 数据 。 





11.18 NetFlow 消息 传输 和 结果 


消息 传输 的 具体 细节 对 于 网 络 管理 员 来 说 并 不 重要 。 然 而 ， 传 输 机 制 的 概念 能 够 帮助 我 们 
理解 NetFlow 产生 的 流量 以 及 管理 员 得 到 的 结果 。 特 别 的， 我 们 将 了 解 为 何 当 输出 设备 和 采集 器 
距离 很 近 并 且 通 过 私有 网 络 相连 时 ，NetFlow 能 够 获得 最 好 的 执行 效果 。 

NetFlow 采用 UDP 传输 方式 ， 即 输出 设备 将 NetFlow 消息 封装 成 UDP 数据 报 并 发 送 给 采集 
器 。 它 可 能 产生 以 下 两 个 重要 结果 : 

。 NetFlow 消息 可 能 丢失 或 重新 排序 

© NetFlow 消息 可 能 引发 拥塞 

1) 消息 丢失 和 重新 排序 : NetFlow 协议 能 够 处 理 消息 丢失 和 重新 排序 问题 。 例 如 ， 在 启动 
过 程 中 ， 如 果 数 据 到 达 采 集 器 的 时 间 比 模板 更 早 ， 那 么 采集 器 就 会 保存 数据 。 一 旦 模板 到 达 ， 采 
集 器 就 会 对 存储 的 数据 进行 解析 和 处 理 。 

协议 采用 两 种 技术 处 理 数据 包 丢 失 和 重新 排序 问题 。 首 先 ，NetFlow 为 每 个 消息 分 配 一 个 序 
列 号 ， 因 此 接收 方 就 能 按 顺 序 排列 接收 到 的 数据 。 第 二 ， 协 议 要 求 发 送 方 定期 发 送 模板 的 副本 。 
因此 ， 如 果 原 始 的 模板 副本 丢失 ， 很 快 还 能 收 到 新 的 副本 。 

2) NetFlow 流量 拥塞 : 由 于 UDP 不 提供 据 蹇 控制 机 制 ， 因此 NetFlow 流量 直接 注 人 网 络 中 而 
不 考虑 其 他 流量 的 影响 。 因 此 ， 使 用 NetFlow 的 管理 员 必须 采取 相关 措施 避免 流量 滤 没 中 间 网 络 
元 素 或 链 路 。 典 型 的 ， 一 个 站 点 会 将 NetFlow 流量 置 于 独立 网 络 中 (例如 ， 私 有 VLAN 将 路 由 器 
管理 端口 同 NetFlow 采集 器 相连 ) 以 避免 拥塞 问题 。 此 外 ， 管 理 员 可 以 插入 流量 调度 设备 来 限制 
NetFlow 消耗 的 带宽 ， 或 者 保证 输出 设备 不 向 外 发 送 大 量 数据 (例如 ， 限 制 NetFlow 模板 中 包含 
的 字段 ) 。 

总 结 : 














虽然 NetFlow 协议 包含 的 机 制 能 够 补偿 UDP 数据 包 丢 失 和 重新 排序 的 问题 ， 但 是 管理 
员 仍 然 要 避免 拥塞 的 产生 。 管 理 员 可 以 将 NetFlow 数据 转移 到 私有 网 络 中 ， 以 便 限 制 ， 
NetFlow 使 用 的 带宽 ， 或 者 限制 NetFlow 发 送 的 数据 总 量 。 








11.19 ”配置 选择 的 影响 


正如 我 们 所 见 ， 当 管理 员 配 置 NetFlow 输出 设备 时 ， 模 板 中 字段 的 选择 会 影响 输出 数据 的 总 
量 。 另 外 ， 以 下 参数 也 会 影响 NetFlow 的 操作 : 

。 数据 包 采 样 速率 。 

。 高速 缓存 容量 。 

° 流量 超时 。 

1) 数据 包 采 样 速率 : 当 从 每 秒 处 理 多 个 数据 流 的 高 速 链 路 〈 例如， 主干 链 路 ) 中 捕获 数据 
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It, NetFlow 会 生成 大 量 流量 数据 。 为 降低 数据 速率 ， 管 理 员 可 以 配置 输出 设备 并 使 用 数据 包 采 
样 (packet sampling) 的 方式 。 从 本 质 上 说 ,采样 是 指 当 进行 数据 流 捕获 时 ， 从 每 N 个 数据 包 中 
提取 一 个 数据 包 进 行 检查 。 例 如 ,将 N 配置 成 1000 意味 着 在 数据 捕获 阶段 ， 每 1000 个 数据 包 就 
会 忽略 其 中 999 个 ， 间 时 NetFlow 数据 的 发 送 速率 也 会 相应 降低 三 个 数量 级 。 当 然 ， 采样 也 会 
降低 处 理 结果 的 准确 度 。 因 此 ， 采样 过 程 引 入 了 折 惠 方案 : 管理 员 可 以 选择 提高 准确 度 或 者 减少 
NetFlow 数据 总 量 。 

2) 高 速 缓存 容量 : 在 输出 数据 流 数据 之 前 ， 捕 获 设备 必须 探测 数据 流 的 起 始 和 终止 。 因 
此 ， 在 数据 流 中 的 所 有 数据 包 都 完成 检测 之 前 ， 必 须 保存 数据 流 信息 。 当 流量 结束 后 即 可 输出 数 
据 流 数 据 。 维 护 数据 流 信息 的 机 制 称 为 数据 流 高 速 缓存 (flow cache)。 之 所 以 这 样 命名 ， 是 因为 
数据 流 高 速 缓存 中 只 保存 时 间 最 近 的 数据 流 数据 。 

有 些 系统 允许 管理 员 控 制 数据 流 高 速 绥 存 的 大 小 。 降 低 高 速 缓存 容量 会 降低 系统 能 够 同时 
捕获 的 数据 流 总 数 ， 也 会 降低 传输 总 量 。 当 然 ， 如 果 高 速 缓存 容量 过 小 将 导致 分 析 误差 。 

3) 数据 流 超时 : 数据 流 捕获 对 于 使 用 面 回 连接 范 型 的 协议 来 说 很 直观 。 例 如 ，TCP 会 交换 
SYN 数据 包 以 建立 连接 ， 并 使 用 FIN 或 RST 数据 包 终止 连接 。 因 此 ， 如 果 一 个 设备 要 捕获 TCP 
连接 的 数据 流 信息 ， 它 只 需要 监控 适当 的 SYN, FIN 和 RST 数据 包 。 

对 于 EP A UDP 等 遵循 无 连接 范 型 的 协议 ， 捕 获 数 据 流 数据 更 为 困难 ， 原 因 在 于 没有 特殊 类 
型 的 数据 包 来 标识 数据 流 的 起 始 和 终止 。 在 这 种 情况 下 ， 数 据 流 输出 设备 会 采用 高 速 缓存 超时 
来 控制 数据 发 送 的 时 间 一 一 当 数据 记录 经 过 天 秒 的 闲置 等 待 时 间 后 ， 该 记录 将 被 输出 并 从 数据 
流 缓存 中 清除 。 

”管理 员 可 以 为 数据 流 缓存 设置 超时 值 。 然 而 ， 极 限 数值 的 执行 效果 并 不 理想 。 超 时 值 选择 过 
大 将 使 高 速 缓存 中 保留 无 用 数据 流 ， 这 就 占据 了 用 于 捕获 其 他 数据 流 的 空间 。 超 时 值 选 择 过 小 
会 导致 在 所 有 数据 包 检 测 完 毕 之 前 过 早 输出 数据 流 〈 即 后 继 数据 包 将 被 视 为 新 的 数据 流 ) 。 

“总 结 : 7 





除了 选择 输出 字段 的 集 侣 之 外 ， 管 理 员 还 可 以 配置 数据 包 采 样 速 率 、 数 据 流 高 速 缓存 
的 规模 ， 以 及 清除 陈旧 数据 项 的 高 速 缓存 超时 时 间 。 











11.20 总 结 


数据 流 分 析 会 对 流量 进行 分 类 ， 每 类 数据 流 都 代表 一 个 相关 数据 包 序列 。 数 据 流 分 析 的 应 
用 范围 很 广 ， 包括 流量 描述 、 审 计 和 计 费 以 及 异常 检测 。 

数据 流 定义 较为 灵活 。 管 理 员 可 以 根据 相同 目标 地 址 、 数 据 包 中 包含 的 相同 协议 、 具 有 相同 
TCP 连接 的 数据 包 或 者 来 自 特定 人 口 的 数据 包 定 义 汇聚 数据 流 。 

数据 流 分 析 可 以 在 线 (在 采集 数据 的 同时 ) 或 者 离线 (在 数据 包 采 集 和 存储 之 后 ) 执行 。 
在 线 分 析 有 助 于 问题 诊断 ， 而 离线 分 析 人 允许 管理 员 对 相同 数据 进行 多 角度 观察 。 

数据 流 数据 的 捕获 可 以 通过 被 动 探测 或 转发 数据 包 的 主动 网 络 元 素 实 现 。 主 动 捕获 的 主要 
优点 在 于 它 能 够 追踪 从 一 个 接口 到 另 一 个 接口 的 数据 流 。 为 实现 高 速 捕获 ， 网 络 元 素 可 以 使 用 
分 类 硬件 ， 尽 早 分 类 能 够 减少 数据 采集 量 ， 但 是 无 法 保留 所 有 细节 。 

现在 有 很 多 数据 流 分 析 工 具 ， 其 中 大 部 分 使 用 图 形 化 显示 方式 。 两 种 普遍 应 用 的 显示 格式 








驴 ” 在 实践 中 ， 为 防止 每 次 上 只 检查 第 六 个 数据 包 的 情况 发 生 ， 采 样机 制 会 包含 一 定 的 随机 性 。 
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是 动态 饼 图 和 时 间 级 数 图 。 

最 流行 的 数据 流 技术 是 NetFlow， 它 由 Cisco System 发 明 并 得 到 了 其 他 厂商 的 广泛 应 用 。Net- 
Flow 中 说 明了 单 回流 量 并 给 出 平 靖 定义 。 为 保证 输出 的 一 般 性 ，NetFlow 会 发 送 一 个 描述 数据 和 
数据 记录 的 模板 ， 即 使 接收 方 无 法 理解 全 部 字段 的 含义 ， 也 能 根据 模板 解析 NetFlow 数据 包 。 

NetFlow 采用 UDP 传输 方式 。 协 议 能 够 处 理 数据 包 重 新 排序 和 模板 丢失 的 问题 。 为 控制 拥塞 
状况 的 发 生 ， 管 理 员 既 可 以 配置 NetFlow， 减 少数 据 发 送 量 ,也 可 以 重新 规划 网 络 ， 选 择 较 少 发 
生 拥 赛 的 路 径 〈 例 如 ， 私 有 网 络 连接 ) 。 

现在 有 多 种 数据 流 分 析 工 具 。 例 如 ， 使 用 NetFlow 数据 的 开源 工具 集合 可 以 从 如 下 网 址 
获得 : 

hitp: //www. splintered. net/sw/flow-tools/ 
Cisco System 为 捕获 NetFlow 数据 提供 支持 ， 并 且 提 供 数据 分 析 工 具 。 对 这 些 信息 的 介绍 可 以 
从 以 下 网 址 获得 : 
http: //www. cisco. com/warp/public/732/netflow/index. html 
关于 IETF 的 IP 流 信 息 输 出 《IPFIX) 的 相关 内 容 可 以 通过 以 下 网 址 获得 : 
http; //net. doit. wisc. edu/ipfix/ 
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12.1 简介 


这 一 部 分 中 的 几 音 将 介绍 网 络 管理 常用 的 技术 与 工具 。 在 上 一 章 中 我 们 重点 介绍 了 流量 分 
析 ， 它 是 管理 员 了 解 与 评估 流量 的 关键 技术 之 一 。 

在 本 章 中 ， 我 们 继续 讨论 网 络 管理 技术 ， 并 且 把 讨论 的 重点 放 在 路 由 管理 上 来 。 我 们 会 发 现 
虽然 基本 的 路 由 非常 简单 ， 但 是 有 许多 细小 的 问题 使 得 对 路 由 传播 的 管理 更 加 复杂 。 


12.2 转发 与 路 由 的 定义 


我 们 首先 回忆 一 下 转发 (forwarding) 与 路 由 (routing) 的 区 别 。 转 发 是 指 IP 路 由 器 的 动作 。 
184| ” 当 路 由 器 接收 到 一 个 数据 包 时 ， 会 沿 着 通 往 数 据 包 目 的 地 址 的 路 径 选 择 下 一 跳 地 址 ， 然 后 将 数 
: | ” 据 包 发 送出 去 。 而 路 由 则 是 指 建立 一 些 信息 帮助 路 由 器 完成 转发 任务 的 过 程 。 从 管理 员 的 角度 
185) 来 看 ， 路 由 是 用 来 控制 转发 的 一 种 工具 。 也 就 是 说 : 





管理 员 使 用 路 由 机 制 来 建立 和 控制 数据 包 流 经 网 络 的 路 径 。 


12.3 目 动 控制 与 路 由 更 新 协议 


现在 ， 路 由 管理 工作 已 经 彻底 实现 了 自动 化 : 管理 员 仅仅 需要 选择 合适 的 路 由 软件 ， 然 后 可 
以 运行 这 些 软件 来 处 理 问 题 。 事 实 上， 现在 已 经 有 许多 路 由 更 新 协议 《routing update protocol ) , 
每 个 协议 都 允许 路 由 表 在 整个 网 络 中 交换 消息 ， 并 传播 路 由 信息 。 从 理论 上 说 ， 如 果 管 理 员 选 择 
了 路 由 协议 ， 并 且 为 每 一 全 路 由 豆 都 配置 了 路 由 软件 ， 那 么 这 些 路 由 器 就 会 自动 建立 一 些 内 部 
转发 表 ， 并 且 维 护 它 们 的 正确 性 和 高 效 性 。 

尽管 存在 着 大 量 的 协议 和 软件 ， 但 是 网 络 路 由 还 没有 实现 自动 化 一 一 建立 与 维护 路 由 仍然 
是 网 络 管理 最 困难 的 方面 之 一 。 事 实 上 ， 自 动 路 由 协议 可 以 很 好 地 处 理 许多 小 问题 。 在 管理 员 需 
要 对 协议 已 经 做 出 的 选择 进行 更 改 时 ， 它 会 提出 存在 的 障碍 。 总 结 如 下 : 











| 虽然 自动 路 由 协议 可 以 处 理 一 些小 问题 ， 但 是 路 由 仍然 是 大 型 网 络 管理 中 的 难题 
之 一 。 





在 对 基础 知识 进行 回顾 之 后 ， 后 面 各 节 将 会 深 人 地 研究 路 由 管理 。 我 们 会 探究 路 由 与 策略 
的 交互 关系， 考虑 使 路 由 管理 复杂 的 限制 因素 ， 然 后 举 出 一 些 潜在 的 路 由 问题 的 例子 。 
12.4 路 由 基础 与 路 由 度量 

为 了 进一步 理解 路 由 管理 的 问题 ， 我 们 必须 先 理解 一 些 基 本 概念 。 其 中 包括 : 

。 最 短路 径 与 路 由 度量 。 


© 路 由 机 制 的 类 型 与 范围 。 
186] 下面 各 节 中 将 给 出 上 述 两 个 概念 的 定义 。 在 随后 的 几 节 中 我 们 会 继续 对 路 由 管理 进行 深入 研究 。 
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12.4.1 最 短路 径 与 路 由 度量 


一 个 路 由 协议 总 是 在 和 尝试 寻找 穿越 网 络 的 最 佳 路 径 。 其 中 关于 “最 住 ” 的 定义 依赖 于 网 络 
和 所 使 用 的 路 由 协议 。 通 常 ， 最 佳 路 径 就 是 根据 路 由 协议 的 度量 机 制 所 测量 出 来 的 长 度 最 短路 
径 (shortest path)。 和 常见 度量 项 目 包括 : 
© 跳 步 数 
e 延 时 
e fia 
e ibe 
© 元 余 度 
1) APA: 跳 步 数 是 自动 路 由 更 新 协议 中 最 常用 的 度量 机 制 。 一 条 路 径 的 跳 步 数 被 定义 为 
沿 这 条 路 径 所 经 过 的 路 由 器 数 ” 。 当 使 用 跳 步 数 时 ， 路 由 协议 选择 跳 步 数 最 短 的 路 径 进 行 传输 。 
2) 延 时 : 对 大 多 数 应 用 ， 如 实时 的 视频 和 音频 来 说 ， 一 条 路 径 的 跳 步 数 的 重要 性 低 于 横 穿 
这 条 路 径 的 延 时 。 在 这 种 情况 下 ， 管 理 员 需 要 选择 一 条 延 时 最 小 的 路 径 进 行 传输 。 
3) Ha: 持 动 通常 与 延 时 相关 ， 因 为 两 者 对 于 实时 应 用 来 说 都 十 分 重要 。 为 了 输出 高 质量 
的 实时 数据 ， 必 须 选 择 拌 动 与 延 时 最 小 的 路 由 。 | 
4) 吞吐 量 : 在 一 些 情况 下 (比如 文件 系统 备份 )， 有 大 量 的 数据 需要 进行 传输 。 这 时 ， 无 
论 是 跳 步 数 还 是 延 时 都 不 能 提供 一 条 最 优 的 访问 路 径 。 因 此 ， 我 们 应 该 选择 一 条 拥有 最 大 吞吐 
量 的 路 径 。 
5) 元 余 度 : 在 一 些 情况 下 ， 可 用 性 比 其 他 方面 的 性 能 更 为 重要 。 管 理 员 可 以 将 宛 余 度 作为 
度量 的 标准 ， 选 择 那 些 能 够 提供 最 大 宛 余 路 径 的 路 由 进行 传输 。 
遗 居 的 是 ， 没 有 哪 一 个 度量 标准 对 于 所 有 的 情况 都 是 理想 的 。 BANK 2S SEB CE ee At 
应 用 ， 其 中 包括 实时 音频 和 视频 的 传输 ， 也 包括 普通 数据 的 传输 。 





当选 择 路 由 策略 时 ， 管 理 员 必须 考虑 用 哪 一 种 度量 标准 进行 衡量 。 


12.4.2 ”路 由 的 类 型 与 范围 


1) 单 播 路 由 与 多 播 路 由 : 本 草 与 路 由 的 主要 焦点 就 是 单 播 (unicast) 流量 。 也 就 是 说 ， 大 
多 数 路 由 都 是 为 含有 唯一 的 目的 地 址 的 数据 包 提 供 路 由 选择 的 。 与 此 同时 ， 一 些 技术 也 为 多 播 
(multicast) 传输 提供 了 路 由 支持 。 多 播 路 由 比 单 播 路 由 更 加 复杂 ,但 是 多 播 技 术 却 没有 单 播 技 
术 成 熟 。 特 别 的 ， 多 播 系统 常常 需要 充分 的 配置 、 监 控 与 维护 。 因 此 ， 许 多 站 点 为 了 避免 多 播 路 
由 ， 通 常 采用 单 播 隧道 来 传输 多 播 数据 流 ; 多 播 只 用 于 局 域 网 中 最 终 递 交 的 一 步 。 

2) IPv4 路 由 与 IPv6 Bw: 虽然 IP 协议 的 第 4 版 和 第 6 版 在 概念 上 是 相同 的 ,但 是 IPv6 更 
改 了 和 若干 关于 地 址 的 假设 (例如 ， 每 一 条 链 路 一 次 可 以 分 配 多 个 前 级 )。 因 此 ，IPv6 的 路 由 管理 
tj IPv4 不 同 。 虽 然 现 在 只 有 IPv4 技术 比较 成 熟 ， 但 是 我 们 在 IPv6 管理 方面 所 积累 的 知识 还 不 足 
以 得 出 任何 结论 。 

3) 内 部 路 由 与 外 部 路 由 : 一 般 来 说 ， 路 由 可 以 根据 底层 设备 的 范围 划分 为 两 大 类 。 内 部 路 
(interior routing) 指 在 一 个 组 织 \ 的 内 部 《比如 企业 内 部 ) 进行 路 由 ， 而 外 部 路 由 (exterior 


O 一 些 协 议 将 一 跳 步 定义 为 一 条 链接 而 不 是 一 台 路 由 器 。 两 者 的 不 同 在 于 是 选择 1 作为 初始 值 还 是 0 作为 初始 值 。 
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routing) 指 在 两 个 独立 的 组 织 之 间 进 行路 由 。 从 技术 上 看 ， 内 部 路 由 被 定义 在 一 个 自治 系统 
(autonomous system) 中 ， 而 外 部 路 由 是 在 两 个 自治 系统 之 间 的 路 由 。 与 上 述 差别 相对 应 ， 路 由 
更 新 协议 也 划分 为 内 部 网 关 协 议 ( Interior Gateway Protocol, IGP) 和 外 部 网 关 协 议 (Exterior 
Gateway Protocol, EGP), 
虽然 看 似 简 单 易 懂 ， 但 在 大 型 网 络 中 内 部 路 由 与 外 部 路 由 的 区 别 变 得 越 来 越 模糊 。 例如 ， 

个 大 型 企业 可 以 选择 将 整个 企业 网 络 划 分 若干 独立 的 子 网 ， 然 后 在 每 一 个 子 网 中 独立 地 进行 路 
由 管理 。 在 实践 中 ， 内 部 路 由 与 外 部 路 由 的 一 个 主要 区 别 在 于 选择 路 径 所 使 用 的 标准 : 内 部 路 由 

通常 采用 最 短路 径 原 则 ， 而 外 部 路 由 通常 会 根据 合 间 和 财政 的 要 求 进行 选择 。 这 一 点 可 以 总 结 
如 下 : 


虽然 路 由 被 划分 为 内 部 路 由 和 外 部 路 由 ,但 是 大 型 的 网 络 会 将 自身 划分 为 多 个 独立 的 


子 网 进行 管理 ， 因 此 两 者 之 间 的 区 别 越 来 越 模糊 了 。 





12.5 关于 路 由 更 新 协议 的 例子 


人 们 已 经 设计 出 许多 协议 来 交换 路 由 信息 。 有 一 项 协议 已 经 成 为 Intemet 外 部 路 由 的 事实 标 
准 。 它 由 Internet 工程 任务 组 (IETF) 制定 ， A A 名 为 边界 网 关 协 议 (Border Gateway Protocol, 
BGP) 。 两 个 流行 的 内 部 网 关 协 议 也 源 于 Internet 工程 任务 组 的 标准 : 路 由 信息 协议 (Routing In- 
formation Protocol, RIP) 和 开放 最 短路 径 优 先 协议 (Open Shortest Path First, OSPF), B 此 之 外 ， 
供应 商 已 经 定义 了 自己 的 内 部 网 关 协 议 。 例 如 ，Cisco Systems 就 会 销售 内 部 网 关 路 由 协议 (Inte- 
rior Gateway Routing Protocol, IGRP) 的 软件 以 及 其 扩展 版 本 (EIGRP ) 的 软件 。 最 后 剩 下 开放 系 
统 之 间 互 连 协议 : 中 间 系 统 对 中 间 系 统 的 路 由 选择 协议 (IS - IS) 。 


12.6 路 由 管理 


对 网 络 管理 员 来 说 ， 路 由 有 两 个 方面 十 分 重要 : 

© 路 由 规划 与 路 径 选 择 。 

° 路 由 配置 。 

1) 路 由 规划 与 路 径 选 择 : 在 部 署 一 个 路 由 体系 结构 之 前 ， 管 理 员 必 须 理 解 整 体 的 目标 ， 然 
后 选择 合适 的 技术 实现 这 些 目标 。 更 重要 的 是 ， 规 划 包 括 对 需求 进行 评估 ， 建 立 指定 传输 路 径 的 
沫 略 ， 保 证 底层 网 络 能 够 支持 上 层 传输 。 评 估 是 非常 困难 的 ， 尤 其 是 在 涉及 经 济 问题 的 时 候 。 例 
如 ， 如 有 果 一 个 ISP 需要 经 过 另 一 个 ISP 进行 路 由 ， 那 么 费用 将 会 根据 两 个 组 织 间 的 SLA 来 设 定 。 

2) 路 由 配置 路 由 的 另 一 个 方面 关注 路 由 体系 结构 的 部 署 。 一 旦 路 由 体系 结构 被 设计 出 
来 ， 每 一 台 路 由 器 要 么 进行 手动 配置 ， 要 么 使 用 路 由 更 新 协议 进行 配置 。 配 置 同样 需要 保留 一 定 
的 带宽 〈 例 如 ， 保 证 普通 的 数据 流 不 影响 实时 音频 流 的 传输 ) 。 


12. 7 路 由 管理 的 难点 ， 


路 由 既 重 要 又 富有 挑战 性 。 一 方面 ， 优化 的 路 由 是 十 分 重要 的 因为 传 给 数据 包 所 使 用 的 路 
径 会 影响 整个 网 络 的 性 能 、 恢 复 能 力 、 故 障 适应 能 力 ， 以 及 每 一 个 应 用 所 得 到 的 服务 。 另 一 方 
面 ， 路 由 是 极 富 挑战 性 的 。 因 为 在 设计 路 由 体系 结构 时 ， 我 们 通常 要 根据 外 部 的 要 求 做 出 某 些 选 
择 。 例 如 ， 路 由 会 受到 组 织 策略 或 者 路 由 更 新 协议 的 制约 。 除 此 之 外 ， 路 由 还 会 受到 合同 责任 
(对 于 供应 商 来 说 更 是 如 此 ) 和 商业 代价 的 影响 。 因 此 我 们 不 能 仅仅 遵循 最 短路 径 的 原则 ， 数 据 
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流 的 路 由 需要 满足 外 部 的 约束 。 这 一 点 可 总 结 如 下 : 


造成 路 由 管理 困难 的 因素 很 多 ; 可 以 采取 策略 让 一 些 传输 使 用 非 最 佳 路 径 。 





为 了 说 明 策 略 对 路 由 的 影响 ， 图 12-1 向 我 们 展示 了 五 个 站 点 的 连接 情况 。 





图 12-1 5 个 相互 连接 的 站 点 。 如 果 站 点 2 与 站 点 $ 的 规模 相同 ， 那 么 从 站 点 1 到 





站 点 3 的 最 短路 径 需 要 经 过 站 点 2。 但 是 策略 可 以 规定 使 用 一 条 更 长 的 路 由 


图 12-1 可 以 用 来 描述 由 5 个 自治 系统 构成 的 集合 或 者 拥有 多 个 站 点 的 企业 。 无 论 在 哪 种 情 
况 下 ,策略 都 可 以 实现 非 最 佳 的 路 由 。 例 如 ， 如 果 站 点 1 由 ISP 组 成 并 且 站 点 2 是 它 的 一 个 客 
户 ， 那 么 根据 合同 的 规定 ，ISP 不 能 合用 站 点 2 传输 数据 ARANAS ARD. MRR 
图 描述 的 是 一 个 企业 ， 站 点 1 和 站 点 2 之 间 链 路 的 过 载 可 能 会 导致 企业 禁止 在 该 链 路 上 的 其 他 传 
输 。 因 此， 为 了 贯彻 策略 ， 站 点 1 的 管理 员 会 为 目的 地 址 是 站 点 3 的 情况 配置 非 最 佳 路 由 。 


12.8 ”使 用 路 由 度量 来 加 强 策 略 


管理 员 可 以 通过 手动 配置 转发 表 来 实现 任意 策略 。 但 是 ， 这 样 做 既 单调 又 容易 出 错 。 此 外 ， 
手动 配置 不 利于 出 现 故 辜 时 的 自动 恢复 。 因 此 我 们 提出 这 样 一 个 问题 : 路 直 更 新 协议 能 在 策略 
存在 的 情况 下 使 用 吗 ? 

看 起 来 路 由 协议 不 会 顾及 策略 ， 因 为 协议 在 计算 最 短路 径 时 使 用 的 度量 源 自 底层 网 络 的 性 
质 而 不 是 策略 。 但 是 在 许多 情况 下 ， 路 由 软件 允许 管理 员 控 制 路 由 。 大 致 有 三 种 方法 : 

。 手动 控制 

。 路 由 交换 控制 

。 度量 控制 

1) 手动 控制 : 这 是 最 简单 的 方式 ， 它 允 许 管理 员 通 过 插 人 或 更 改 转发 表 中 的 特定 行 来 完成 
策略 控制 。 这 些 行 从 某 种 意义 上 说 是 永久 的 ， 因 为 路 由 协议 不 能 删除 或 替代 它们 。 

2) 路 由 交换 控制 : 一 些 路 由 软件 允许 管理 员 为 每 一 台 路 由 器 配置 一 系列 约束 〈eonstraint ) 
规则 来 控制 路 由 信息 的 传输 。 EO AOIR A 息 和 从 其 他 路 由 器 接 
收 到 的 路 由 信息 。 因 此 ， 为 了 执行 策略 ， 管 理 员 可 以 使 用 约束 来 阻止 一 个 站 点 获得 一 -条 更 短 的 
路 径 。 

D 度量 控制 ， 昌 然 一 个 具有 约束 机 制 的 系统 能 够 处 理 一 些 策 咯 ， 但 是 一 种 更 灵活 的 方法 是 
允许 管理 员 控 制 路 由 协议 发 送 的 数值 。 例 如 ， 一 个 协议 《比如 RIP 协议 ) 可 以 使 用 跳 步 数 (hop- 
count) 作为 度量 。 管 理 员 可 以 配置 RIP 协议 使 用 的 度量 。 因 此 ， 管 理 员 可 以 人 工地 为 一 一 个 网 络 
设 定 “距离 *，RIP 协议 在 向 其 他 路 由 器 发 送 路 由 信 息 的 时 候 会 使 用 这 些 距 离 。 

度量 控制 比 约束 机 制 更 加 有 效 。 如 果 管 理 员 能 够 控制 度量 ， 那 么 他 就 可 以 选择 是 否 鼓 励 合 
用 特定 的 路 由 。 但 是 在 发 生 故 障 的 情况 下 ， 管 理 员 还 是 必须 依靠 自动 的 路 由 。 例 如 ， 在 图 12-1 
中 ， 管 理 员 可 以 设置 站 点 2 的 度量 ,使 得 通 往 目的 地 站 点 3 的 路 径 代 价 较 高 。 如 果 设 置 了 站 点 4 
的 度量 ， 就 会 使 得 通 往 目的 地 站 点 3 的 路 径 代价 较 低 。 当 路 由 信息 到 达 站 点 1， 通 过 站 点 4 和 站 
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点 5 的 路 径 会 比 通过 站 点 2 的 路 径 代价 低 。 但 是 ， 路 由 系统 仍然 会 提供 后 备 方案 : 如 采 发 生 故 障 
(比如 ， 站 点 4 与 站 点 5 之 间 的 链 路 失效 ) ， 协 议 就 会 自动 地 检测 故障 ， 然 后 采用 经 过 站 点 2 的 高 
代价 的 路 由 。 可 以 总 结 如 下 : 


为 了 控制 路 径 选 择 ， 管 理 员 可 以 对 路 由 度量 进行 配置 ， 这样 就 可 以 得 到 高 于 或 低 于 实 
际 值 的 数值 。 如 果 度 量 是 经 过 精心 选择 的 ， 那 么 当 发 生 故 障 的 时 候 ， 路 由 协议 就 会 选 
择 一 个 后 备 路 由 。 








12.9 克服 自动 化 的 不 足 


路 由 说 明了 网 络 管理 中 的 一 个 重要 原则 : 当 目 动 子 系统 不 能 够 应 对 一 些 情 况 的 时 候 ， 管 理 
员 必 须 采 取 欺 骗 手 段 使 得 系统 产生 需要 的 输出 结果 。 实 质 上 ， 管 理 员 不 是 直接 指定 需要 的 输出 ， 
而 是 通过 一 整套 经 过 推导 得 出 的 参数 和 输入 来 使 自动 系统 产生 指定 的 输出 结 采 。 例 如 ， 在 路 由 
协议 中 ,管理 员 必须 选择 度量 才能 实现 预期 的 转发 ， 同 时 必须 仔细 计算 出 故障 时 人 工 度量 对 于 
路 由 的 影响 。 这 一 点 可 总 绪 如 下 : 






当 控 制 一 个 自动 管理 子 系统 的 动作 时 (比如 路 由 协议 ) ， 管 理 员 必须 间接 地 通过 操纵 
参数 来 得 到 需要 的 输出 结果 。 间 接 控 制 是 十 分 复杂 的 ， 而 且 可 能 会 产生 出 平 意料 的 
结果 。 









12.10 ”路 由 与 服务 质量 管理 


在 第 7 章 中 ， 我 们 曾 介绍 路 由 对 整个 网 络 的 性 能 十 分 重要 ， 并 且 在 容量 规划 中 扮演 着 不 可 或 
缺 的 角色 。 除 此 之 外 ， 路 由 还 在 网 络 服务 质量 《Quality of Service, QoS) 管理 中 扮演 者 重要 角 
色 。 本 节 将 从 以 下 三 方面 进行 说 明 : 

© 路 径 特征 。 

。 拥 赛 预 告 。 

e 路 由 变更 的 影响 。 

1) 路 径 特 征 : 每 一 条 通过 网 络 的 路 径 都 有 许多 特征 ， 比 如 ， 延 时 、 拌 动 等 。 这 些 特征 决定 
了 这 条 路 径 的 服务 质量 。 一 般 来 说 ， 路 径 越 短 ， 它 的 服务 质量 就 会 越 好 。 例 如 ， 一 条 包含 了 卫星 
连接 的 路 径 就 会 比 一 条 两 个 以 太 网 之 间 的 路 径 拥有 更 高 的 延 时 。 因 此 ， 在 许多 情况 下 保证 服务 
质量 是 十 分 必要 的 。 管 理 员 需 要 保证 路 由 协议 不 会 忽略 对 服务 质量 的 考虑 。 

2) MAME: 回忆 第 7 章 的 内 容 ， 我 们 知道 ， 拥 塞 会 导致 延 时 。 因 此 ， 当 有 低 延 时 的 需求 
时 ， 管 理 员 必 须 将 数据 流 路 由 到 拥塞 最 小 的 路 径 上 来 。 换 句 话 说， 管理 员 必 须 仔 细 地 控制 路 由 ， 
保证 即使 是 在 拥有 最 短路 径 的 情况 下 ， 具 有 低 延 时 要 求 的 流量 也 不 会 路 由 到 拥塞 的 路 径 上 来 。 

3) 路 由 变更 的 影响 : 有 趣 的 是 ， 由 于 路 由 变更 会 产生 抖动 ， 路 由 更 新 协议 在 修改 最 佳 路 向 
的 时 候 就 会 自动 地 引 人 和 人 服务 质 量 问题 。 当 路 由 协议 在 两 条 路 径 之 间 播 摆 不 定 的 时 候 ， 上 述 问题 
会 更 加 严重 。 因 此 ， 为 了 减少 拌 动 ， 管理 员 必 须 防止 持续 的 路 由 变更 。 这 一 点 概括 如 下 : 





路 由 与 服务 质量 管理 具有 内 在 的 联系 。 因 为 通过 网 络 的 最 短路 径 不 一 定 总 是 满足 服务 
质量 的 要 求 ， 而 且 路 由 的 变更 会 带 来 拌 动 ， 所 以 服务 质量 必须 要 求 管理 员 超 越 路 由 
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值得 注意 的 是 ， 服 务 质量 管理 在 音频 、 视 频 和 普通 应 用 数据 流 汇 聚 于 同一 网 络 的 时 候 面临 
着 极 大 的 挑战 。 因 为 在 这 种 情况 下 ， 网 络 还 是 采用 传统 的 转发 系统 ， 而 不 会 区 分 各 种 类 型 的 数据 
流 。 在 此 种 情况 下 ， 路 由 器 会 转发 所 有 治 着 同一 路 径 到 达 指 定 目 的 地 址 的 数据 流 。 因 此 ， 为 了 避 
免 沿 同一 路 径 转 发 所 有 的 数据 流 ， 人 允许 管理 员 为 特定 的 数据 流 ( 比如 音频 流 ) 选择 一 条 合适 的 
路 径 以 满足 服务 质量 的 要 求 几乎 是 不 可 能 。 总 而 译 之 ， 管 理 员 面 对 厦 这 样 一 个 矛盾 : 一 方面 不 能 
为 特定 类 型 的 数据 流 找到 满足 服务 质量 要 求 的 路 径 ; 男 一 方面 党 同一 路 径 转 发 所 有 的 数据 流 叉 
会 引发 拥塞 问题 ， 从 而 违反 服务 质量 的 要 求 。 


12. 11 流量 工程 与 MPLS 隧道 


因为 P 转发 使 用 目的 地 址 来 选择 下 一 跳 步 ，Intemet 转发 可 以 被 视 为 利用 一 套 定向 的 表格 ， 
其 中 每 一 个 表格 对 应 一 个 目的 地 址 。 流 量 工程 (traffic engineering) 是 基于 目的 地 址 转发 的 首要 
选择 ， 而 多 协议 标记 交换 (Multi-Protocol Label Switching, MPLS) 技术 则 是 最 为 流行 的 技术 。 多 
协议 标记 交换 技术 允许 管理 员 将 流量 映射 到 一 个 数据 流 集合 ， 并 且 为 每 一 个 流 指定 一 条 通过 网 
络 的 路 径 。 此 外 ， 每 一 个 映射 可 以 指定 网 络 中 的 任意 两 点 作为 起 点 和 终点 。 也 就 是 说 ， 管 理 员 可 
以 在 网 络 中 的 一 些 节点 上 使 用 流量 工程 ， 而 在 另 一 些 节点 上 使 用 传统 的 卫 转发 。 

非 正 式 地 ， 我 们 将 MPLS 路 径 称 为 隧道 《tunnel) 。 实 质 上 ， 一 旦 一 个 数据 包 进 和 MPLS fe 
道 ， 就 会 按照 事先 决定 的 路 径 到 达 隧 道 尽头 ， 而 不 考虑 已 经 建立 的 卫 转发 机 制 。 通 过 允许 管理 
员 将 流量 划分 为 流 ，MPLS 能 够 克服 IP 转发 机 制 的 一 个 重要 限制 : 对 于 一 个 指定 的 目的 地 址 来 
说 ， 一 些 类 型 的 流量 可 以 沿 一 条 路 径 传 输 ， 其 他 类 型 的 流量 可 以 沿 另 一 条 路 径 传 输 。 因 此 ， 管 理 
员 可 以 让 VoIP 流量 沿 着 一 条 低 拌 动 和 低 拥 塞 的 路 径 传输 ， 而 让 E-mail 和 Web LRA ARE 
吐 量 的 路 径 传输 。 这 一 点 可 概括 如 下 : 





流量 工程 技术 为 IP 转发 提供 了 另 一 种 选择 。 流 量 工程 不 是 为 每 一 个 目的 地 址 指定 路 


由 ， 而 是 允许 管理 员 独 立地 控制 每 一 个 数据 流 的 转发 。 





12.12 预先 计算 备用 路 径 


传统 的 IP 路 由 协议 可 以 检测 、 调 市 链 路 故障 以 及 一 些 网 络 拓扑 变化 。 一 旦 检测 到 故障 ， 路 
由 协议 会 选择 男 一 条 路 径 以 绕 开 故障 重新 路 由 。 但 问题 是 : 流量 工程 如 何 处 理 好 类 似 的 情况 呢 ? 

现在 的 技术 为 使 用 流量 工程 的 网 络 提供 了 自动 恢复 功能 。 与 传统 的 路 由 协议 不 同 ， 为 流量 
工程 网 络 设计 的 恢复 系统 使 用 预先 计算 (precomputation) 的 方法 。 也 就 是 说 ， 在 任何 故障 发 生 
之 前 ， 管 理 员 就 会 指出 一 些 潜在 的 故障 ， 然 后 要 求 软件 为 每 一 个 潜在 的 改 障 计算 一 条 备用 路 径 
并 存储 起 来 。 当 故障 真 的 发 生 时 ， 软 件 就 能 够 快速 地 切换 到 备用 路 径 上 。 一 些 供应 商 使 用 “路 
径 保 护 ”(path protection) 一 词 来 强调 为 流量 工程 提供 备用 路 径 和 自动 恢复 机 制 与 路 由 协议 提供 
传统 的 转发 机 制 来 实现 自动 恢复 是 类 似 的 。 这 一 点 可 以 概括 为 : 














虽然 流量 工程 为 每 一 个 流 分 配 了 一 条 固定 的 路 径 ， 但 是 当 故 障 发 生 时 ,使 用 现 有 的 技 





术 可 以 将 流 切 换 到 一 条 备用 路 径 上 来 。 供 应 商 称 这 样 的 软件 提供 路 径 保 护 。 


当然 ， 服务 质量 的 要 求 使 得 选择 路 径 时 的 计算 更 加 困难 。 为 了 说 明 其 中 的 原因 ， 图 12-2 给 
出 了 一 个 网 络 ， 每 一 条 链 路 上 都 分 配 了 流量 。 
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图 12-2 图 中 显示 了 6 台 路 由 器 ; 每 一 条 链 路 上 都 标记 出 链 路 容量 与 已 经 分 配给 数据 流 
容量 的 比值 。 链 路 〈《D，E) 有 两 个 数据 流 ， 速 度 分 别 为 40mbps 和 80mbps 


在 图 12-2 中 ， 每 一 条 链 路 上 的 标签 列 出 了 这 条 链 路 的 总 容量 和 为 现 有 的 数据 流 所 分 配 的 容 
量 。 为 了 讨论 方便 ， 我 们 假定 图 中 列 出 的 每 一 个 数据 流 都 是 两 个 路 由 器 之 间 点 对 点 的 流 。 比 如 ， 
A 与 D 之 间 的 链 路 的 容量 为 200mbps， 但 是 只 有 20mbps 的 数据 流 被 分 配 到 这 条 链 路 上 。 也 就 是 
说 ，180mbps 的 容量 未 被 分 配 〈 也 就 是 说 ， 还 可 以 用 于 那些 尽力 而 为 的 流量 ) 。 

为 了 理解 预先 计算 后 备 路 径 的 困难 程度 ， 我 们 假定 在 D 和 之 间 的 链 路 故障 的 情况 下 计算 
后 备 路 径 。 现 在 有 两 个 数据 流 被 分 配给 这 条 链 路 ， 容 量 分 别 为 40mbps 和 80mbps; 后 备 计划 必须 
为 上 述 两 个 数据 流 提供 后 备 路 径 。 因 为 B 和 C 之 间 的 链 路 只 剩 下 60mbps 的 容量 ， 所 以 对 80mbps 
的 数据 流 来 说 唯一 可 行 的 后 备 路 径 就 是 : 

D—>A>E 
此 外 ， 当 使 用 后 备 方案 后 ， 加 上 80mbps 的 容量 ， 链 路 (A, E) 的 剩余 容量 不 到 40mbps。 因 此 ， 
对 于 40mbps 的 数据 流 来 说 ， 唯 一 可 行 的 后 备 路 径 是 ; 
D—A—>B—>C—>F—>E 

FURR Be a I -ATTRAE RTE? 遗憾 的 是 ， 该 方案 有 两 个 潜在 的 问 
题 。 首 和 完 ， 因 为 后 备 方案 将 链 路 (A，,，E) 的 整个 容量 都 分 配给 了 数据 流 ， 所 以 没有 多 余 的 容量 
来 运行 最 佳 的 传输 。 其 次 ， 在 这 个 简化 的 例子 中 仅 使 用 了 点 对 点 的 数据 流 ， 而 且 只 考虑 了 吞吐 量 
的 要 求 。 除 了 为 数据 流 保留 种 宽 以 外 ， 流 量 工程 通常 会 提供 一 个 延 时 和 抖动 的 范围 。 在 上 述 的 后 
备 计 划 中 ， 将 链 路 CA, E) 的 所 有 容量 都 分 配 出 去 意味 着 这 条 链 路 的 利用 率 达 到 了 100% 。 这 
样 就 会 导致 任意 的 高 延 时 和 高 拌 动 。 因 此 ， 预 先 计 算 后 备 路 径 是 一 个 多 元 优化 的 问题 。 这 一 点 可 
概括 如 下 : 


在 使 用 流量 工程 的 网 络 中 预先 计算 后 备 路 径 是 十 分 复杂 的 。 因 为 除了 考虑 吞吐 量 之 


外 ， 服 务 质 量 (QoS) 通常 会 带 来 其 他 方面 的 要 求 ， 比 如 延 时 和 抖动 的 范围 等 。 一 个 
后 备 方案 必须 满足 服务 质量 的 各 个 方面 。 











12.13 组合 优 化 与 不 可 行 性 


考虑 到 许多 组 合 优化 问题 ， 后 备 路 由 计算 的 一 个 可 能 结果 就 是 没有 一 种 解决 方案 是 可 行 的 。 
也 就 是 说 ， 即 便 给 定 了 一 个 网 络 的 拓扑 结构 、 一 些 数据 流 的 集合 以 及 一 个 潜在 的 故障 模式 ， 也 没 
有 一 种 后 备 方案 能 够 满足 服务 质量 〈QoS) 的 约束 。 我 们 认为 这 样 的 问题 是 过 度 约束 的 ( over- 
constrained) ， 后 备 方案 也 是 不 可 行 的 。 
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当然 ， 决 定 一 个 问题 是 否 可 行 需要 进行 充分 的 计算 。 尤 其 是 在 网 络 非常 大 的 情况 下 ， 存 在 着 
许多 数据 流 ， 而 每 一 个 数据 流 又 有 许多 服务 质量 约束 。 为 了 减少 计算 时 间 ， 常 用 软件 不 会 为 网 络 
中 的 数据 流 列举 所 有 可 能 的 路 径 。 取 而 代 之 ， 软 件 会 根据 最 大 流量 最 小 截 量 定理 ”进行 优化 。 即 
使 可 以 进行 优化 ， 预 先 计 算 也 逢 要 管理 员 在 后 台 进 行 。 它 通常 也 是 一 个 离线 的 过 程 ， 而 不 是 一 个 
可 以 立即 得 出 结果 的 过 程 。 

我 们 可 以 看 出 ， 管 理 员 只 会 对 可 行 的 后 备 方案 感 兴趣 ， 而 那些 不 可 行 的 方案 是 不 重要 的 。 但 
是 ， 如 果 知 道 了 一 个 后 备 方案 是 不 可 行 的 ， 可 以 从 以 下 两 个 方面 帮助 管理 员 。 首 先 ， 在 故障 发 生 
时 可 以 帮助 管理 员 避 人 免 在 重新 路 由 数据 流 上 浪费 时 间 。 其 次 ， 容 量规 划 十 分 有 益 : 如 果 一 些 数据 
流 是 至 关 重 要 的 ， 管 理 员 必须 增加 容量 保证 在 发 生 故 障 时 数据 流 不 会 出 现 问 题 。 这 一 点 可 概括 
An F: 





知道 一 个 后 备 方 案 是 不 可 行 的 可 以 帮助 管理 员 为 关键 数据 流 增 加 容量 ， 同 时 避免 在 寻 





找 一 条 并 不 存在 的 后 备 方 案 上 浪费 时 间 。 


12.14 ”预先 计算 与 IP 路 由 的 快速 收敛 


有 趣 的 是 ,预先 计算 后 备 路 径 也 可 以 应 用 于 IP 路 由 。 这 样 可 以 提供 比 传统 协议 更 加 快速 的 
收 剑 性。 供应 商 使 用 术语 “快速 故障 恢复 ” (fast recovery) 和 “快速 故障 切换 ” (fast failover) 
来 描述 这 一 优化 。 

为 了 理解 快速 恢复 为 什么 如 此 重要 ， 我们 观察 到 传统 的 路 由 协议 采用 更 新 循环 的 方式 来 应 
对 路 由 变化 。 对 于 一 些 协议 来 说 ， 一 次 循环 需要 耗费 数 十 秒 钟 的 时 间 。 因 此 ， 在 故障 发 生 之 后 路 
由 更 新 协议 需要 几 分 钟 的 时 间 才 能 够 收敛 到 一 个 新 的 方案 上 来 ， 而 在 这 段 时 间 内 ， 路 由 是 不 可 
用 的 。 如 果 有 了 快速 恢复 机 制 ， 后 备 路 由 就 会 被 预 完 计算 出 来 并 且 随 时 可 以 安装 。 因 此 ,一 旦 检 
测 到 故障 ， 快 速 恢 复 就 会 立即 修复 转发 机 制 ， 不 需要 消耗 过 多 的 时 间 。 


12.15 ”流量 工程 、 安 全 以 及 负载 均衡 


流量 工程 的 使 用 对 网 络 管理 的 诸多 方面 都 产生 了 影响 ， 其 中 包括 安全 与 负载 均衡 。 有 时 ， 人 
们 认为 流量 工程 比 传 统 的 IP 路 由 更 加 安全 ， 因 为 管理 员 可 以 准确 地 控制 一 个 数据 包 经 过 网 络 的 
路 径 ， 所 以 管理 员 可 以 保证 数据 包 不 会 流出 指定 的 区 域 。 即 使 在 发 生 故障 的 时 候 ， 路 由 协议 也 会 
自动 重新 路 由 其 他 流量 。 除 此 之 外 ， 经 过 MPLS 隧道 的 流量 可 以 被 加 密 一 一 数据 包 在 进入 隧道 之 
前 被 加 密 ， 在 通过 隧 掉 以 后 再 解密 。 

有 趣 的 是 ， 虽 然 流量 工程 在 茶 些 方面 可 以 增加 安全 性 ， 但 是 使 用 流量 工程 却 会 给 整个 安全 
体系 结构 带 来 限制 。 例 如 ， 在 一 个 数据 包 被 分 配 到 一 条 路 径 之 前 我 们 需要 对 它 进 行 分 类 。 这 还 是 
在 数据 包 的 相关 和 字段 没有 被 加 密 的 前 提 下 完成 的 。 如 果 隧 道 使 用 了 加 密 技 术 ， 那么 一 个 未 加 密 
的 数据 包 在 到 达 使 用 流量 工程 的 网 络 时 ， 会 先 被 划分 到 合适 的 数据 流 中 ， 然 后 再 进行 加 密 。 但 
是 ， 如 果 应 用 程序 采用 了 并 到 端的 加 秘技 术 ， 并 且 数 据 包 在 到 达 时 已 经 被 加 密 ， 那 么 为 数据 包 寻 
找 正确 的 路 径 是 十 分 困难 甚至 是 不 可 能 的 。 因 此 ， 使 用 加 密 隧 道 的 体系 结构 会 给 端 到 端的 加 密 
应 用 带 来 约束 。 


O 最 大 流量 最 小 截 量 定 理 最 初 应 用 于 商品 的 物流 中 ( 比如， 航运 路 线 )。 
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流量 工程 也 影响 着 负载 均衡 (load balancing)。 在 传统 的 路 由 系统 中 ， 采 用 动态 的 负载 平衡 
机 制 将 数据 流 划 分 给 两 个 或 多 个 平行 的 路 径 。 更 重要 的 是 ， 根据 路 径 分 发 数据 包 的 想法 能 够 适 
应 各 种 条 件 一 一 负载 均衡 硕 会 不 断 地 测量 每 一 条 路 算 的 流量 ， 然 后 根据 测量 结果 将 数据 包 分 本 
给 各 条 路 径 。 因 此 ， 负 载 均衡 大 能 够 避免 高 利用 率 的 情况 。 这 样 就 意味 着 低 延 时 和 低 抖 动 。 但 是 
流量 工程 动 与 负载 平衡 发 生 了 冲突 。 因 为 流量 工程 采用 的 是 静态 的 方法 ， 此 时 事先 为 每 一 个 数 
据 流 都 指定 了 一 条 穿越 网 络 的 路 径 。 如 果 每 一 个 数据 流 的 流量 是 恒定 的 并 且 已 经 预先 知道 ， 那 
么 当 这 些 数 据 流 被 分 配 到 路 径 上 时 ， 负 载 是 均衡 的 。 但 是 ， 如 果 每 一 个 数据 流 的 流量 是 不 断 变化 
的 ， 那 么 缺少 动态 的 负载 均衡 就 会 叶 致 巨大 的 延 时 和 抖动 。 

本 市 总 结 如 下 : 


流量 工程 会 给 安全 与 负载 均衡 带 来 影响 。 





12.16 开销、 收敛 以 及 路 由 协议 选择 


使 用 自动 路 由 协议 是 人 们 在 考虑 了 日 益 增 长 的 功能 、 数 据 包 开销 以 及 配置 复杂 度 之 后 做 出 
的 折衷 。 对 于 最 小 的 网 络 和 最 简单 的 拓扑 结构 来 说 ， 路 由 协议 是 不 必要 的 。 因 为 只 存在 着 一 条 路 
径 。 在 这 种 情况 下 ， 路 由 协议 只 会 增加 网 络 开 销 而 没有 任何 好 处 。 对 于 大 型 的 、 更 加 复杂 的 拓扑 
结构 来 说 ， 路 由 协议 能 够 检测 故障 ， 为 沿 后 备 路 径 传 输 数 据 流 ， 保 证 网 络 能 够 正常 地 运行 ， 直 到 
故障 被 修复 为 止 。 

当 没 有 故障 发 生 的 时 候 ， 携 带路 由 信息 的 数据 包 仅仅 是 增加 了 网 络 的 开销 。 因 此 管理 员 必 
须 选 择 一 个 协议 既 实 现 故 障 检测 的 功能 ， 同 时 又 使 用 最 少 的 数据 包 开 销 。 例 如 ， 在 只 有 一 条 连接 
通 向 Internet 的 拓扑 结构 中 ， 选 择 一 个 协议 让 到 任意 目的 地 址 的 传输 都 使 用 一 条 默认 的 ( default) 
路 径 可 以 减少 更 新 消息 的 数量 ， 从 而 降低 开销 。 管 理 员 必须 在 两 个 主要 的 路 由 协议 之 间 做 出 选 
择 : 距离 向 量 (distance-vector) 协议 与 链 路 状态 (link-status) 协议 。 这 两 个 协议 使 用 消息 的 大 
小 和 数量 是 截然 不 同 的 。 

男 一 个 管理 问题 涉及 收敛 (convergence) 过 程 花费 的 时 间 。 在 拓扑 结构 发 生变 化 或 者 发 生 故 
障 之 后 ， 自 动 路 由 协议 需要 时 间 来 检测 变化 并 更 改 路 由 。 在 这 种 情况 下 ， 我 们 称 系统 收敛 至 一 个 
新 的 路 由 状态 。 收 敛 过 程 需要 的 时 间 依 赖 于 使 用 的 协议 、 网 络 拓 扑 结 构 以 及 故障 发 生 的 位 置 。 采 
用 不 同 的 协议 ， 收 敛 时 间 也 截然 不 同 。 例 如 ， 一 个 使 用 距离 向 量 路 由 的 协议 (比如 RIP) 需要 数 
分 钟 的 时 间 进 行 收敛 。 因 此 ， 当 需要 快速 恢复 故障 的 情况 下 ， 管 理 员 必须 选择 一 种 快速 收 钱 的 协 
议 《比如 OSPF 的 收敛 速度 就 比 RIP 快 很 多 )。 

除了 考虑 路 由 协议 产生 的 流量 与 收敛 时 间 之 外 ， 管 理 员 必 须知 道 配 置 和 运行 协议 的 困难 程 
度 。 例 如 ，RIP 就 比 OSPF 更 容易 安装 和 配置 。 但 是 ，RIP 不 能 用 于 大 型 的 复杂 网 络 中 ， 也 不 能 
满足 外 部 路 由 的 需求 。 

我 们 将 选择 路 由 协议 时 要 注意 的 方面 概括 如 下 : 


因为 管理 员 必 须 者 虑 协议 生成 的 数据 包 开 销 、 网 络 的 规模 与 复杂 度 、 故 障 和 变更 时 的 
收 合 速度 ， 以 及 配置 和 运行 协议 的 代价 ， 所 以 选择 一 个 合适 的 路 由 协议 是 十 分 困难 的 。 









12. 17 OSPF 域 与 层次 路 由 的 原则 
OSPF 对 管理 提出 了 一 项 重要 的 课题 路 由 层次 结构 (routing hierarchy) 的 设计 。OSPF 采用 
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“38” (area) 的 概念 来 表示 相互 间 可 以 交换 路 由 消息 的 路 由 器 集合 。 当 配置 该 协议 的 时 候 ， 管 理 
员 将 网 络 划 分 为 一 个 或 多 个 OSPF 域 。 使 用 域 的 目的 是 为 了 减少 开销 一 一 同一 个 域 的 路 由 器 之 间 
可 以 交换 路 由 信息 ， 但 是 在 域 之 间 进 行 传输 之 前 需要 对 路 由 信息 进行 汇总 。 因 此 ， 域 间 的 数据 流 
要 比 域 中 的 数据 流 少 得 多 。 我 们 面临 的 挑战 是 不 存在 任何 公式 能 决定 域 的 大 小 和 组 成 。 

对 于 一 个 由 多 个 站 点 组 成 的 网 络 来 说 ， 管 理 员 可 以 为 每 一 个 站 点 使 用 一 个 单独 的 域 。 更 重 
要 的 十 ， 党 理 员 能 够 将 域 安排 在 不 同 的 路 由 层次 中 ， 而 数据 流 往往 会 沿 着 路 由 层次 中 的 路 径 传 
输 。 层 次 路 由 提供 了 一 种 介 于 平面 路 由 体系 结构 和 流量 工程 体系 结构 之 间 的 折衷 方 案 。 在 平面 
路 由 体系 结构 中 ， 路 由 协议 可 以 在 计算 最 短路 径 时 使 用 任何 一 条 路 径 ; 而 在 流量 工程 体系 结构 
中 ， 管 理 员 必须 为 每 一 个 数据 流 指定 路 径 。 我 们 可 以 概括 如 下 : 





层次 路 由 给 管理 员 提 供 了 介 于 平面 路 由 与 流量 工程 之 间 的 折 刘 方案。 当 从 一 个 域 向 


另 一 个 域 传 输 时 ， 数 据 流 活着 层次 的 路 径 进行 传输 ， 而 不 能 洛 任 意 的 路 径 穿 过 网 络 。 





12.18 路 由 管理 与 隐藏 问题 


路 由 管理 面临 着 一 项 不 同 寻 和 常 的 挑战 。 为 了 增强 健壮 性 ， 一 些 应 用 程序 在 首选 连接 不 可 用 
的 情况 下 采用 备用 连接 点 的 机 制 。 除 此 之 外 ， 许 多 路 由 技术 都 提供 了 自动 检测 和 故障 适应 机 制 。 
因此 ， 网 络 应 用 程序 和 路 由 基础 设施 都 可 以 修复 路 由 问题 ， 而 不 需要 通知 管理 员 或 者 要 求人 工 
干预 。 

下 面 将 从 概念 上 分 类 说 明 一 些 管理 员 不 易 发 现 的 路 由 问题 。 

o 非 对 称 路 由 

o 非 最 佳 路 由 

© 路 由 环 路 

e 染 地 址 与 黑洞 

e 子 网 歧义 

© 收敛 速度 缓慢 

© 路 由 拌 动 

© 元 余 路 径 失 效 

e BGP Wedgies 问题 | 

1) 非 对 称 路 由 : 路 由 非 对 称 (asymmetry) 是 指 沿 一 个 方向 的 数据 流 所 经 过 的 链 路 和 路 由 器 
的 集合 与 泊 相 反方 向 的 数据 流 所 经 过 的 链 路 和 路 由 器 的 集合 不 同 。 虽 然 非 对 称 在 某 些 情况 下 是 
有 用 的 ， 但 是 非 对 称 路 由 并 不 是 人 们 有 心 所 为 〈 比 如 ， 是 由 事故 引起 的 ) 。 非 对 称 路 由 能 够 降低 
整体 的 吞吐 量 ， 但 也 使 得 故障 检测 更 加 困难 〈 例 如 ， 从 一 方 跟踪 路 由 不 能 识别 出 一 个 双向 通信 
经 过 的 所 有 路 由 亏 ) 。 因 为 通信 过 程 是 持续 不 断 的 ， 所 以 非 对 称 性 仍 未 被 检测 出 来 。 

2) 非 最 佳 路 由 : 如 果 对 一 对 源 地 址 和 目的 地 址 来 说 ， 存 在 着 一 条 更 短 的 路 径 满 足 路 由 的 各 
种 约束 ， 那 么 我 们 认为 路 由 是 非 最 佳 的 〈nonoptimal ) 。 非 最 佳 路 由 的 一 个 典型 例子 就 是 多 余 跳 步 
问题 (extra hop problem) 。 在 多 余 跳 步 问 题 中 ， 一 个 错误 的 路 由 会 造成 一 个 数据 包 在 交付 使 用 之 
前 两 次 穿越 相同 的 网 络 。 因 为 网 络 是 在 不 断 运 行 的 ， 所 以 非 对 称 路 由 问题 十 分 隐藏 (可 能 会 存 
在 一 些 性 能 退化 的 迹象 ) 。 

3) 路 由 环 路 : 路 由 环 路 〈routing loop) 指 的 是 一 些 路 由 组 成 了 一 个 环 路 。 为 了 说 明 路 由 环 
路 为 何不 能 被 检测 到 ， 我 们 观察 一 个 可 能 只 包括 一 小 部 分 地 址 的 路 由 环 路 。 如 果 一 名 用 户 能够 
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199] ”通过 网 络 进行 通信 ， 但 是 不 能 到 达 茶 一 个 站 点 ， 那 么 他 很 可 能 认为 这 个 站 后 已 经 失效 了 。 


4)“ 黑 ”地 址 与 黑洞 :“ 黑 ”地 址 (dark address) 和 黑洞 (black hole) 用 于 说 明 网 络 不 能 
路 由 所 有 地 址 的 人 情况。 典型 的 ， 黑洞 是 由 于 错误 地 配置 路 由 器 引起 的 。 如 果 只 是 那些 很 少 被 访问 
的 地 址 受到 影响 ， 那 么 问题 不 会 明显 地 展示 在 用 户 面前 。 

5) 子 网 歧义 : 当 使 用 长 度 可 变 的 子 网 地 址 时 ， 管 理 员 可 能 会 因为 在 分 配子 网 号 时 朴 忽 大 意 
而 造成 网 络 中 的 所 有 部 分 不 能 访问 某 些 子 网 地 址 的 情况 。 因 为 只 有 特定 的 源 地 址 和 目的 地 址 的 
组 合 受到 影响 ， 所 以 在 用 户 尝试 在 这 一 对 端点 之 间 进 行 通信 之 前 ， 问 题 是 不 会 被 检测 出 来 的 。 

6) KARRAR: 在 路 由 发 生变 化 之 后 ， 路 由 协议 需要 一 段 相 当 长 的 时 间 才 能 收敛 。 一 个 
特殊 的 收敛 问题 被 称 作 无 穷 计数 (count-to-infinity》 问题 。 它 能 够 形成 持续 数 分 钟 的 暂时 的 路 由 
环 路 。 因 为 路 由 协议 最 终 会 达到 收敛 状态 ， 所 以 站 和 令 缓慢 的 问题 不 能 够 钙 检 测 出 来 ， 并 且 可 能 会 
重复 发 生 。 

7) 路 由 村 动 : 路 由 拌 动 (route flapping) 问题 是 最 重要 的 隐藏 问题 之 一 ， 它 是 由 不 断 变 化 
的 路 由 引起 的 。 路 由 的 改变 并 不 是 人 们 所 期 望 的 。 因 为 一 次 路 由 变更 通常 会 引发 拌 动 ， 并 有 旦 会 造 
成 数据 包 无 序 。 路 由 是 在 不 断 运行 的 ， 但 是 变更 会 造成 传输 协议 和 实时 应 用 的 性 能 下 降 。 

8) 兄 余 路 径 失效 : 一 个 敏感 的 路 由 问题 与 在 故障 时 使 用 的 后 答 路 由 有 关 : 如 果 由 于 种 种 原 
因 后 备 路 径 不 能 正常 运行 ,那么 这 一 问题 在 首选 路 径 失 效 之 前 是 不 会 肾 露 出 来 的 。 类 似 地 ， 如 采 
使 用 了 负载 均衡 ， 平 行路 径 的 故障 也 很 难 被 发 现 。 因 为 网 络 是 不 断 运行 的 。 

9) BGP Wedgies 问题 : 在 一 个 有 强制 策略 的 环境 中 使 用 边界 网 关 协 议 (BGP) 会 引入 一 个 
敏感 而 且 出 乎 预料 的 路 由 问题 。 如 果 从 一 个 自治 系统 到 为 一 个 自治 系统 之 间 已 经 建立 了 路 由 ， 
并 且 存 在 独立 的 首选 《primary) 路 径 和 后 备 〈backup) 路 径 ， 那 么 一 旦 首选 路 径 发 生 放 障 就 可 
以 在 随后 的 一 段 时 间 内 得 到 修复 。 虽 然 倾 癌 于 使 用 首选 路 径 ， 但 是 运行 BCP 后 的 结果 会 使 后 备 
路 径 继续 使 用 下 去 。 

我 们 可 以 概括 如 下 : 





因为 一 些 敏感 的 路 由 问题 没有 明显 的 症状 ， 所 以 路 由 管理 是 十 分 困难 的 。 


12.19 路 由 的 整体 特性 


有 趣 的 是 ， 路 由 为 我 们 引入 了 最 重要 的 管理 问题 ， 它 已 经 成 为 贯穿 整个 讨论 的 话题 : 路 由 与 
流量 工程 跨越 了 多 个 网 络 元 素 。 因 此 ， 路 由 管理 与 流量 管理 需要 所 有 网 络 元 素 的 协调 。 

路 由 管理 可 以 被 划分 为 截然 不 同 的 两 个 阶段 : 初始 配置 阶段 与 持续 运行 阶段 。 为 了 保证 基 
本 的 正路 由 配置 正确 ， 管 理 员 只 需要 建立 两 个 基本 的 性 质 。 

© 在 整个 网 络 中 路 由 协议 的 配置 是 一 致 的 。 

o 初始 路 由 可 以 满足 路 由 协议 的 内 部 操作 。 

在 第 一 个 性 质 中 ， 一 致 性 要 求 指定 链 路 上 每 一 个 节点 都 能 理解 链 路 使 用 的 路 由 协 以 。 因 此 ， 
分 享 同 一 链 路 的 路 由 器 必须 使 用 同样 的 路 由 协议 。 这 样 也 就 意味 痢 正 确 的 配置 要 求 在 一 对 路 由 
髓 之 间 进 行 协调 。 在 第 二 个 性 质 中 ， 路 由 事 必 须 配 置 一 些 初始 的 路 由 ， 这 样 才能 使 路 由 协议 到 达 
其 他 路 由 器 。 因 此 ， 如 果 到 其 他 路 由 器 的 路 径 已 知 ， 那 么 就 已 经 决定 了 正确 的 初始 路 由 。 

多 个 网 络 元 素 之 间 更 加 明确 的 协调 需要 流量 工程 进行 管理 。 尤 其 是 ， 沿 着 标记 可 变 路 径 的 
每 一 对 路 由 器 必须 在 两 者 使 用 的 标记 上 达成 一 致 。 因 此 ， 建 立 标记 可 变 的 路 径 需 要 经 过 一 系列 
路 由 器， 并 且 为 经 过 的 每 一 个 跳 步 选择 一 个 标签 。 
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协调 多 个 网 络 元 素 使 得 路 由 比 其 他 管理 任务 更 加 复杂 : 


与 其 他 管理 任务 一 次 只 在 一 个 网 络 元 素 上 执行 不 同 ， 路 由 管理 与 流量 工程 需要 多 个 网 
络 元 素 之 间 进 行 协 调 。 协 调 多 个 网 络 元 素 增加 了 复杂 性 ， 但 是 也 解释 了 为 什么 路 由 中 
RRP MARRS HR, 














12.20 总 结 


路 由 是 复杂 的 。 许 多 网 络 使 用 自动 协议 来 交换 路 由 信息 和 发 现 最 佳 路 由 ， 并 且 在 众多 协议 
中 存在 着 多 种 多 样 的 度量 。 路 由 可 以 被 划分 为 内 部 路 由 和 外 部 路 由 ， 但 是 在 大 型 网 络 中 这 种 划 
分 十 分 模糊 。 

路 由 协议 包括 边界 网 关 协 议 (BGP)、 路 由 信息 协议 (RIP)、 开 放 最 短路 径 优先 协议 (OSPF)、 
内 部 网 关 路 由 协议 (IGRP) 以 及 其 扩展 版 本 (EIGRP) 。 路 由 策略 也 许 会 违背 选择 最 佳 路 径 的 原 
则 。 为 了 制定 策略 ， 管 理 员 可 以 控制 路 由 和 使 用 的 度量 。 路 由 管理 与 服务 质量 管理 密切 相关 ， 通 
过 网 络 的 路 径 决 定 了 接收 服务 的 质量 。 

对 于 传统 路 由 来 说 ， 流 量 工程 是 主要 的 选择 。 它 可 以 预先 为 数据 流 分 配 路 径 ， 我 们 将 其 称 为 
隧道 。MPLS 是 最 常用 的 技术 。 虽 然 不 能 够 满足 故障 检测 和 恢复 的 要 求 ， 但 是 流量 工程 技术 作为 
预先 计算 可 选 路 径 之 用 ， 这 类 似 于 预先 计算 的 形式 已 经 用 于 为 传统 IP 路 由 提供 快速 恢复 。 服 务 
质量 保证 使 得 预先 计算 后 备 路 径 成 为 一 个 复杂 的 组 合 问题 。 流 量 工程 影响 着 安全 问题 与 负载 均 
衡 问题 。 

由 于 路 由 协议 和 网 络 应 用 程序 生来 就 包含 着 许多 错误 ， 所 以 路 由 管理 是 十 分 困难 的 ， 一 些 
敏感 的 路 由 问题 依然 没有 显现 出 来 。 


未 来 研究 


Griffin 和 Huston [ RFC 4264] HE T BGP 缺陷 ， 并 且 给 出 了 一 个 拓扑 结构 来 说 明 这 一 问题 。 
Norton [2002] 提出 了 一 项 很 吸引 人 的 技术 研究 。 主 要 的 ISP 可 以 利用 这 项 技术 控制 对 等 节点 的 
路 由 。 我 们 尤其 关注 一 些 优化 效益 的 技术 。 这 些 撤 术 通过 在 BGP 路 径 中 插入 附加 选项 使 得 流量 
沿 着 另外 一 条 非 最 佳 路 径 进 行 传输 。 





PRBE 管理 脚本 


13.1 简介 


本 书 的 第 二 部 分 重点 介绍 了 目前 网 络 管理 员 使 用 的 设备 与 平台 。 前 面 几 章 在 对 管理 工具 进 
行 了 一 番 人 研究 之 后 ， 又 对 单独 的 技术 逐次 展开 了 讨论 。 除 了 用 一 RE a AT 28 SNMP 之 外 ， 后 续 
各 章节 包含 了 流量 分 析 与 路 由 的 内 容 。 

本 章 将 讨论 相关 的 技术 ， 并 目 为 继续 介绍 下 一 部 分 内 容 英 定 基 础 。 本 章 描述 了 脚本 这 一 十 
分 有 趣 的 概念 ， 同 时 四 读者 解释 脚本 为 什么 会 被 认为 是 实现 自动 网 络 管理 的 第 一 步 。 本 章 将 举 
例 说 明 脚 本 功能 如 何 扩展 网 络 管理 产品 的 通用 性 并 且 增 强 产品 所 支持 的 功能 的 。 本 书 第 三 部 分 
将 会 展开 关于 月 动 化 的 讨论 ， 并 且 对 网 络 管理 的 未 来 进行 介绍 。 


13.2 配置 的 限制 


从 直观 的 角度 上 看 ， 配 置 (configuration) 是 一 个 选择 的 集合 ， 管 理 员 可 以 通过 它 来 控制 设 
备 或 者 软件 系统 的 运行 ”。 配 置 的 一 个 重要 缺陷 就 是 不 能 够 轻易 地 扩展 功能 : 配置 参数 的 集合 与 
每 一 个 参数 的 可 能 值 在 系统 设计 时 就 已 经 决定 了 。 也 就 是 说 ， 当 创建 一 个 网 络 元 素 或 服务 时 ， 设 
计 者 不 仅 要 设想 出 系统 将 会 使 用 的 方法 ， 而 且 还 要 选择 方便 管理 员 区 分 使 用 模式 的 参数 。 这 一 
点 概括 如 下 : 





虽然 配置 参数 在 原始 设计 的 范围 内 给 管理 员 提 供 了 一 定 的 灵活 性 ， 但 是 当 系 统 设 计 完 


成 之 后 ， 选 择 的 集合 也 就 固定 了 。 





对 于 系统 设计 者 来 说 ， 预 见 用 户 的 需求 是 十 分 困难 的 。 在 由 多 个 系统 组 成 的 网 络 中 ， 情 况 更 
加 复杂 。 因 为 用 户 有 权 自 由 地 选择 一 种 网 络 拓扑 结构 和 一 套 网 络 服务 。 进 一 步 说 ， 在 设计 系统 的 
时 候 ， 用 户 既 可 以 在 一 个 完全 不 可 预料 的 环境 中 设置 一 个 网 络 系统 ， 也 可 以 在 传统 的 环境 中 提 
出 一 些 部 署 系统 的 新 颖 办 法 。 总 而 言 之 ， 对 于 设计 者 来 说 ， 预 见 所 有 可 能 或 者 定义 一 套 能 够 满足 
所 有 情况 的 参数 集合 几乎 是 不 可 能 的 。 

这 一 点 概括 如 下 : 


依赖 于 配置 的 系统 与 服务 的 范围 和 通用 性 往往 受到 设计 者 预见 未 来 网 络 环境 的 能 力 以 


及 产品 使 用 方式 的 限制 。 








13.3 使 用 更 新 范 型 不 断 升 级 


范 型 决定 了 可 配置 网 络 系统 的 产品 : 每 一 个 后 续 版 本 都 会 包含 与 新 增 配 置 命令 相对 应 的 新 
功能 以 及 控制 新 特性 的 参数 ， 同 时 供 能 够 启用 和 控制 新 的 特性 的 参数 。 为 了 利用 新 的 功能 ， 当 
前 用 户 会 将 他 们 的 系统 升级 (upgrade) 至 一 个 新 的 版 本 。 除 了 商业 产品 外 ， 室 内 系统 通常 会 尊 


循 一 个 更 新 范 型 。 使 用 配置 来 选择 新 特性 的 主要 优点 在 于 向 下 兼容 性 ， 如果 一 个 新 特性 在 给 定 


O 图 4-1 列 出 了 与 配置 相关 的 主要 特性 。 
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情况 下 是 不 需要 的 ， 那 么 该 特性 将 被 忽略 。 

从 供应 高 的 角度 来 看 ， 创 建 一 个 提供 特性 选项 的 产品 能 够 增加 潜在 的 使 用 ， 从 而 激发 潜在 
的 市 场 。 但 是 ， 每 一 个 附加 的 特性 都 会 增加 设计 、 建 造 以 及 测试 产品 的 成 本 。 因 此 ， 在 新 版 本 中 
加 入 一 个 新 特性 之 前 ， 供 应 商 最 好 调查 一 下 潜在 的 市 场 并 且 只 将 那些 低 投 入 高 收益 的 特性 整合 
进来 。 

从 管理 员 的 角度 来 看 ， 定 期 地 更 新 产品 有 以 下 缺点 

。 一 个 站 点 必须 支付 整套 升级 产品 的 费用 ， 即 使 该 站 点 只 需要 其 中 一 小 部 分 的 新 功能 。 

。 在 使 用 任何 新 特性 之 前 ， 管 理 员 必 须 等 待 一 个 更 新 周期 。 

e 产品 的 一 个 新 版 本 必须 经 过 彻底 地 测试 才能 够 安装 到 网 络 产品 上 。 

o 因为 供应 商 选择 的 特性 是 为 了 实现 他 们 的 利益 最 大 化 ， 所 以 供应 商 不 可 能 除 括 一 个 站 点 

需要 的 所 有 新 特性 。 

因为 各 个 站 点 的 需求 是 各 不 相同 的 ， 所 以 最 后 一 点 十 分 重要 。 例 如 ， 虽 然 - - 些 站 点 有 严格 的 
安全 要 求 ， 而 且 关 注 对 访问 的 限制 ， 而 另 一 些 站 点 却 要 求 提供 开放 的 访问 。 类 似 地 ， 一 些 站 点 需 
要 创建 详细 的 账户 记录 ， 而 另 一 些 却 不 需要 。 


13.4 不 通过 定期 升级 扩展 功能 


在 设计 网 络 产品 时 ， 能 和 否 不 通过 升级 到 一 个 新 版 本 就 完成 功能 的 扩展 呢 ? 在 一 些 情 况 下 ， 答 
案 是 肯定 的 。 也 就 是 说 ， 在 设计 时 不 必 有 预见 所 有 可 能 的 使 用 情况 ， 而 将 扩展 功能 作为 设计 的 基本 
部 分 与 产品 一 起 被 制造 出 来 例如， 产品 包含 了 一 种 机 制 使 得 拥有 者 在 不 升级 的 情况 下 增加 新 
的 功能 ) 。 

当然 ， 扩 展 不 足以 处 理 产 品 核心 功能 有 重大 修改 的 情况 的 。 进 一 步 说 ， 扩 展 可 能 难以 实现 。 
一 个 缺点 来 源 于 用 于 创建 扩展 的 内 部 专业 技术 : 大 多 数 技术 要 求 编程 方面 的 专业 知识 。 因 此 ,在 
能 够 使 用 上 述 技术 之 前 ， 站 点 必须 雇用 一 名 专业 的 计算 机 编程 人 员 。 

限制 扩展 的 一 个 最 重要 因素 来 源 于 性 能 的 下 降 : 扩展 功能 不 像 系 统 内 置 机 制 一 样 能 迅速 地 
运行 。 因 此 ， 供 应 商 很 少将 扩展 功能 作为 使 路 由 器 或 交换 机 获得 高 性 能 的 途径 。 取 而 代 之 ， 扩 展 
通常 用 于 低速 的 设备 或 控制 机 制 中 。 事 实 上 ， 最 适合 扩展 机 制 的 产品 包括 了 应 用 软件 执行 的 服 
务 。 我 们 可 以 概括 如 下 : 





因为 扩展 机 制 会 降低 性 能 ， 所 以 它 通 常用 于 低速 的 软件 系统 而 不 是 高 速 的 硬件 系统 。 


13.5 脚本 的 传统 概念 


为 了 理解 管理 技术 是 如 何 提供 扩展 的 ， 我 们 回顾 一 下 脚本 的 概念 ， 通 常 , “脚本 ” (script) 
一 词 指 具有 下 列 特点 的 计算 机 程序 : 

© 简明 扼 要 

© 用 解释 性 语言 编写 

© 用 于 完成 一 项 简单 的 任务 

e。 按 要 求 进行 调用 

1) MAR: 与 数 百 万 行 代码 组 成 的 大 型 应 用 程序 相 比 ， 脚 本 是 很 小 的 。 一 些 脚本 只 需要 
几 行 代码 就 能 够 表达 出 来 。 许 多 脚本 的 代码 都 少 于 100 FF, 

2) 用 解释 性 语言 编写 : 脚本 与 传统 的 计算 机 程序 不 同 ， 因 为 脚本 是 解释 性 的 (interpreted ) 。 
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也 就 是 说 ， 不 需要 编译 成 由 CPU 直接 执行 的 二 进 制 指令 ， 脚 本 按照 源 格式 进行 存储 并 被 一 个 名 
为 “解释 器 ” (interpreter) 的 计算 机 程序 执行 。 用 于 脚本 的 解释 性 语言 包括 : awk, Perl, Tel/ 
Tk, Unix 外 党 以 及 Visual Basic, 

3) 用 于 完成 一 项 简单 的 任务 : 与 包含 输入 、 基 本 运算 以 及 展示 (输出 ) 代码 的 大 型 应 用 程 
序 不 同 ， 脚 本 通常 用 于 处 理工 作 进程 的 一 个 方面 。 例 如 ， 脚 本 可 用 于 在 处 理 之 前 对 输入 数据 进行 
过 小 。 

4) 按 要 求 进行 调用 : 因为 脚本 具有 解释 性 ， 所 以 它 能 够 在 任何 时 候 被 调用 。 例 如 ， 脚 本 可 
以 从 命令 行 界面 调用 。 更 重要 的 是 ， 脚 本 可 以 调用 其 他 脚本 处 理 部 分 进程 。 

上 面 的 描述 大 致 概括 了 脚本 的 一 般 特 点 ， 但 也 存在 例外 的 情况 。 例 如 ， 长 的 脚本 可 能 会 包含 
数 千 行 代码 ， 编 译 器 经 过 发 展 ， 已 经 可 以 高 速 地 执行 脚本 ， 脚 本 已 经 用 于 处 理 输入 、 运 算 、 输 出 
等 多 个 方面 。 我 们 可 以 概括 如 下 : 


虽然 存在 着 例外 情况 ， 但 是 传统 的 脚本 通常 是 由 解释 性 语言 编写 的 一 小 段 计 算 机 程 


序 ， 它 能 够 完成 一 项 小 任务 ， 并 且 按 要 求 调 用 。 





13.6 “脚本 与 程序 


可 以 看 出 ， 脚 本 与 应 用 程序 的 区 别 主 要 在 于 它们 的 目的 以 及 在 整个 系统 中 扮演 的 角色 不 同 。 
的 确 ， 由 于 大 多 数 脚 本 语言 是 图 灵 完 全 (Turing complete) 语言 ”， 脚 本 可 用 于 完成 任意 的 计算 。 
但 是 ， 重 要 的 区 别 在 于 脚本 语言 影响 着 编写 与 使 用 软件 的 整体 代价 。 一 般 来 说 ， 脚 本 是 低 代 码 量 
与 较 短 执行 时 间 之 间 的 一 种 折衷 。 脚 本 通常 会 : 

© 易于 创建 和 修改 

o 可 快速 调试 和 检测 

© 执行 速度 较 慢 

1) 易于 创建 和 修改 : 脚本 语言 使 软件 创建 的 过 程 更 加 容易 和 快速 。 因 此 ， 脚 本 语言 为 处 理 
普通 任务 提供 了 高 水 平 的 方式 。 事 实 上 ， 脚 本 比 应 用 程序 简短 的 一 个 重要 原因 就 是 语言 的 级 
别 一 一 脚本 中 一 行 代 码 完成 的 功能 在 传统 编程 语言 下 需要 用 许多 行 代码 才能 实现 。 高 灵活 性 的 
男 一 大 好 处 驶 是 编程 人 员 不 再 需要 进行 大 量 的 训练 和 专业 培训 。 

2) 可 快速 调试 和 检测 : 因为 脚本 语言 可 以 被 解释 ， 所 以 程序 员 不 需要 等 到 编译 和 链接 程序 
驶 可 以 进行 调 坛 。 因 此 为 了 检测 变化 ， 程 序 员 可 以 不 断 地 修改 脚本 ， 并 可 以 立刻 运行 结果 代码 。 

3) 执行 速度 较 慢 ， 虽然 减少 了 软件 生产 、 修 改 以 及 测试 时 消耗 的 总 体 代 价 ， 但 是 脚本 执行 
起 来 比 传统 程序 缓慢 。 

这 一 点 可 概括 如 下 : 











脚本 是 程序 开发 代价 与 执行 速度 之 间 的 一 种 折衷 方案 : 与 传统 编程 语言 相 比 ， 脚 本 开 


发 代价 小 ， 但 执行 速度 较 慢 。 





13.7 单机 管理 脚本 
脚本 是 如 何 应 用 于 网 络 管理 的 呢 ? 脚本 在 管理 方面 主要 有 两 个 应 用 : 单机 应 用 与 扩展 机 制 。 


O ”如果 一 种 语言 是 图 灵 完 全 语言 ， 那 么 它 就 有 足够 的 能 力 计算 任何 可 以 计算 的 函数 。 
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我 们 将 首先 讨论 单机 脚本 ， 并 在 后 面 的 几 节 中 继续 讨论 作为 扩展 机 制 的 脚本 。 

对 于 管理 员 来 说 ， 单 机 脚本 的 运行 与 应 用 程序 十 分 相似 。 脚 本 与 应 用 程序 的 不 同 在 于 适应 
性 一 一 脚本 可 以 更 容易 、 更 快速 地 进行 更 改 。 因 此 ， 管 理 员 可 以 要 求 程序 员 为 适应 当前 的 需要 修 
改 脚 本 (比如 修改 输出 的 格式 )。 进 一 步 说 ， 由 于 脚本 的 修改 代价 低 ， 因 此 创建 多 个 在 次 要 方面 
不 同 的 版 本 成 为 可 能 。 例 如 ， 如 果 一 个 站 点 有 多 个 管理 员 ， 程 序 员 可 以 为 每 一 个 管理 员 创建 一 个 
脚本 版 本 。 

单机 脚本 在 实现 重复 管理 任务 的 自动 化 时 十 分 有 用 。 例 如 ， 假 如 需要 更 改 30 台 路 由 器 的 同 
一 配置 ， 管 理 员 不 需要 手工 输入 更 改 命 令 ， 而 是 创建 一 个 脚本 自动 读 取 路 由 器 地 址 列表 ， 然 后 再 
自动 为 列表 中 的 每 一 个 路 由 融 输 入 命令 。 这 一 点 可 概括 如 下 : 











脚本 为 消除 重复 管理 任务 提供 了 一 种 有 效 方法 ; 一 个 单机 脚本 能 够 自动 地 向 网 络 元 素 
集合 中 的 每 一 个 成 员 发 送 命令 。 











13.8 命令 行 、Unix Expect 程序 和 Expect 脚本 


前 面 已 经 介绍 过 ， 网 络 元 素 通 常 以 命令 行 接口 (Command Line Interface, CLI) 的 形式 提供 
管理 访问 。 在 某 些 情况 下 ， 一 个 网 络 元 素 通 过 它 的 命令 行 提供 的 功能 往往 要 比 其 他 接口 (例如 ， 
SNMP) 更 加 丰富 。 因 此 ， 许 多 管理 工具 都 关注 CLI 交互 功能 。 

目前 有 一 种 使 用 CLI 创建 单机 管理 脚本 并 与 网 络 元 素 进 行 交 互 的 特殊 技术 十 分 流行 。 该 技术 
的 中 心 在 于 名 为 “expect” 的 应 用 程序 上 。expect 由 Tel (Tool Command Language) 语言 编写 ， 主 
要 运行 在 Linux 操作 系统 上 。 现 在 已 经 出 现 用 于 其 他 系统 的 版 本 ， 包 括 Windows 系统 。 

expect 程序 的 思想 非常 简单 : 不 需要 通过 手工 输入 命令 来 控制 或 配置 网 络 元 素 ， 而 是 在 一 个 
文件 中 保存 命令 集合 并 允许 expect 目 动 地 加 载 它 们 。 因 此 ，expeet 的 主要 输入 是 命令 文件 (com- 
mand file) 〈 例 如 ， 包 含 一 系列 命令 的 文本 文件 ) expect 脚本 (expect script) 这 个 名 称 通常 指 一 
个 命令 文件 。 

当然 ， 育 目地 输入 一 系列 命令 是 不 够 的 一 一 如 果 出 现 问 题 或 发 生 错 误 ， 继 续 输入 命令 可 能 
不 会 达到 预想 的 结果 。 因 此 ，expect 提供 了 一 种 利用 脚本 检测 和 处 理 异 常情 况 的 机 制 。 

我 们 可 以 概括 如 下 : 


一 种 用 于 CLI 交互 的 流行 技术 称 作 expect， 执 行 的 步骤 与 检测 的 条 件 在 命令 文件 中 指 





定 ， 通 常 称 这 种 文件 为 expect WA, 


实质 上 ， 一 个 expect 脚本 就 像 一 个 微型 的 计算 机 程序 。 也 就 是 说 ， 不 需要 包含 发 送 到 远程 系 
统 的 文本 ， 命 令 文件 指定 expect 在 交互 过 程 中 应 该 采取 的 一 系列 步骤。 一 个 可 能 步骤 包括 向 系统 
发 送 文本 串 ， 而 另 一 个 步骤 包括 等 待 系统 应 答 。 除 此 之 外 ，expeet 脚本 还 能 与 用 户 交 互 。 因 此 ， 
expect 脚本 能 够 癌 管 理 员 汇报 进程 、 显 示 输 出 以 及 通知 管理 员 是 否 有 错误 发 生 。 

expect 脚本 有 一 个 重要 特性 ， 它 能 够 根据 不 同 条 件 执行 不 同 任务 。 因 此 ， 管 理 员 可 以 指定 : 
如 有 果 远 程 系 统 发 送 登 录 提示 ， 那 么 expect 脚本 就 以 管理 员 的 登录 ID 作为 响应 ; 如 果 远 程 系统 发 
APRA, ABA expect 脚本 就 应 该 通知 用 户 发 生 了 故障 ， 并 停止 与 远程 系统 进行 交互 。 这 一 点 
概括 如 下 : 
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除了 与 远程 系统 交互 以 外 ，expect 脚本 还 能 与 管理 员 进 行 交互 。 





13.9 expect 脚本 的 例子 


我 们 用 一 个 简短 的 例子 说 明 上 述 概念 。 为 了 简化 例子 ， 我 们 考虑 一 个 与 远程 系统 CLI 交互 的 
脚本 : 脚本 登录 一 个 远程 系统 ， 执 行 ifconfig 命令 启用 网 络 接口 ， 然 后 注销 账户 。 

我 们 假定 远程 系统 的 CLI 是 用 于 和 人 进行 交互 的 。 正 常情 况 下 ， 人 们 通过 输入 ENTER 命令 
初始 化 登录 过 程 ， 然 后 系统 在 控制 台 上 显示 登录 提示 进行 响应 。 因 此 ， 为 了 初始 化 交互 过 程 ， 脚 
本 发 送 一 个 换行 字符 (该 字符 响应 输入 的 ENTER 命令 相关 ) ， 然 后 系统 返回 一 个 字符 串 : 


Login: 
脚本 发 送 登 录 ID 〈 在 本 例 中 ， 使 用 的 登录 ID 是 manager) ， 系 统 提示 输入 口令 : 


Password: 


在 本 例 中 ， 脚 本 发 送 口令 lightsaber。 一 旦 登录 完成 ， 系统 就 发 送 以 大 于 号 (>) 表示 的 命令 行 
提示 ， 为 处 理 下 一 个 命令 做 好 准备 。 

在 上 面 的 例子 中 ， 脚 本 可 以 发 送 一 个 命令 ， 然 后 终止 这 次 会 话 。 为 了 终止 会 话 ， 脚 本 必须 
RIX: 

logout 

脚本 运行 ifconfig 命令 ， 指 定 设备 需要 局 用 的 主要 网 络 接口 ， 该 命令 的 准确 格式 如 下 : 


ifconfig hme0 up 


远程 系统 发 送 一 个 指定 网 络 接口 信息 的 消息 作为 这 onfig 命令 的 响应 。 该 响应 消息 包括 IP He 
址 、 掩 码 地 址 以 及 广播 地 址 。 在 下 面 的 例子 中 ， 输 出 信息 采用 了 两 行文 本 的 格式 : 


hme0: fiags=1000843<UP, BROADCAST, RUNNING, MULTICAST, IPv4> mtu 1500 index 2 
inet 128.10.2.26 netmask ffffff00 broadcast 128.10.2.255 


图 13-1 包含 了 一 个 expect 脚本 来 执行 请 求 登 录 、 启 用 接口 、 注 销 账户 的 各 个 步骤 。 从 理论 
上 讲 ， 脚 本 只 需要 向 远程 系统 发 送 文本 。 但 是 ， 在 实践 中 ， 脚 本 必须 验证 在 交互 过 程 的 每 一 步 中 
远程 系统 做 出 的 回复 。 除 此 之 外 ， 脚 本 必须 告知 管理 员 交 互 进度 与 结果 。 

例子 中 的 代码 使 用 了 三 个 基本 指令 : send, send_user 和 expect。 指 令 send 取 一 个 字符 串 作 为 
参数 ， 然 后 将 该 字符 串 发 送 给 远程 系统 的 控制 台 。 这 一 过 程 就 像 人 工 在 远程 系统 的 控制 台 上 和 输 
入 命令 一 样 。 指 令 send_user 将 一 个 字符 串 作 为 输出 显示 在 管理 员 的 屏幕 上 上。 最后， 指令 expect 
监控 来 目 远程 系统 的 输出 ， 然 后 根据 不 同 的 情况 进行 响应 。 例 子 中 的 语言 按照 Unix 传统 使 用 反 
斜 杠 来 转 义 控制 字符 串 。 因 此 ， 在 一 个 字符 串 末 尾 的 两 个 字符 “ \n” 是 换行 字符 ， 它 们 相当 于 
Tee LRAT A. 7 

在 图 13-1 中 ， 以 关键 字 expect 开始 的 每 一 行 后 面 都 包含 了 一 个 指令 样式 。 例 如 ， 在 第 一 个 
expect 处 有 两 行 样式 ， 字 符 串 “Login:” 和 一 个 星 号 ( * )。 星 号 表示 可 以 匹配 任何 字符 串 。 因 
此 ， 如 果 远 程 系统 发 出 Login:， 那 么 脚本 就 会 发 送 字 符 串 “manager” 作 为 响应 。 如 果 远 程 系统 
发 送 其 他 消息 (比如 ， 一 条 出 错 消 息 ) ， 脚 本 就 会 为 管理 员 显 示 出 错 消 息 ， 然 后 退出 。 

除了 图 13-1 中 的 例子 之 外 ，expect 程序 还 提供 了 许多 特性 。 例 如 ， 脚 本 能 够 设置 定时 器 以 
防止 远程 系统 没有 做 出 响应 的 情况 。expect 脚本 也 允许 管理 员 直 接 与 远程 系统 进行 交互 。 例 如 ， 
可 以 创建 脚本 登录 远程 系统 ， 将 管理 员 的 键盘 和 显示 器 与 远程 系统 连接 ， 同 时 允许 管理 员 手 工 
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输入 CLI 命令 。 当 然 ， 脚 本 也 可 以 按照 一 定 的 模式 自动 地 进行 交互 。 当 出 现 蜡 常 情况 时 ， 只 有 切 
换 到 手工 输入 界面 才能 继续 执行 命令 。 这 一 点 可 概括 如 下 : 


因为 expect 程序 提供 了 许多 特性 ， 所 以 expect 脚本 能 够 提供 复杂 的 功能 。 


13. 10 ”管理 脚本 、 异 构 情 况 和 expect 脚本 


许多 站 点 使 用 expect 脚本 处 理 普通 的 管理 任务 。 例 如 ， 一 个 名 为 “passmass” 的 expect 脚本 
能 够 在 普通 的 计算 机 上 修改 用 户 的 密码 一 一 脚本 首先 获得 一 个 主机 的 集合 作为 参数 ， 然 后 对 集 
合 中 每 一 台 主 机 的 密码 都 做 相同 的 修改 。 


expect script that logs in, turns on an interface, and logs out 


send_user ‘attempting to log in\n" 


send "\n" 
expect { 


"Login: " send "manager\n“ 


{send user "Error: did not receive login prompt\n"; exit} 


expect { 
"Password:" send "lightsaber\n" 


{send_user "Error: did not receive password prompt\n"; exit} 


{send "ifconfig hme0 up"; send user "performing ifconfig\n"} 


{send_user "Error: did not receive a command prompt\n"; exit} 


send "logout \n" 


{send_user "Error: did not receive a command prompt\n"; exit} 





send_user "Finished performing ifconfig on remote system\n" 


图 13-1 expect 脚本 与 远程 系统 交互 的 例子 。 脚 本 向 用 户 报告 每 一 步 的 情况 
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系统 相同 或 相似 的 情况 。 例 如 ， 前 面 介绍 的 口令 脚本 就 假定 同一 个 命令 可 以 修改 每 个 系统 的 口 
令 。 如 果 为 了 适应 集合 中 不 同 的 计算 机 而 重 写 脚本， 那么 脚本 就 会 变 得 更 长 并 且 更 难 理解 和 修 
改 。 这 一 点 可 概括 如 下 : 








在 被 管理 系统 相似 的 情况 下 ， 有 和 脚本 能 够 很 好 地 工作 。 为 异 构 环境 编写 的 脚本 往往 很 长 
并 且 难 以 创建 和 维护 。 








13. 11 一 个 使 用 图 形 化 输出 的 单机 脚本 的 例子 


虽然 说 明了 基本 概念 ， 但 是 图 13-1 中 的 例子 脚本 只 集中 介绍 了 命令 行 的 交互 与 配置 。 脚 本 
还 可 以 用 于 设计 包含 图 形 化 表示 的 复 洒 软件 系统 。 为 了 解释 脚本 的 功能 ， 本 市 将 会 研究 端 到 闪 
的 性 能 监控 问题 ， 同 时 介绍 一 种 可 以 解决 这 个 问题 的 脚本 ， 最 后 给 出 使 用 图 形 化 输出 的 脚本 的 
例子 。 

脚本 是 怎样 帮助 管理 员 监 控 整 个 网 络 的 性 能 的 呢 ? 一 种 办 法 是 使 用 脚本 不 断 地 测量 和 显示 
往返 延 时 。 虽 然 这 种 办 法 并 不 能 包括 网 络 性 能 的 所 有 方面 ， 但 是 通过 网 络 的 往返 延 时 也 可 以 显 
示 出 断路 和 拥塞 等 问题 。 特 别 是 ， 管 理 员 可 以 使 用 监控 脚本 测量 外 部 站 点 的 啊 应 时 间 。 在 解释 这 
种 脚本 的 运行 方式 之 后 ， 我 们 将 会 研究 例子 中 的 输出 。 

脚本 的 一 个 主要 优点 是 可 以 与 现 有 的 许多 工具 结合 使 用 。 例 如 ， 除 了 创建 一 个 新 的 程序 来 
检测 延 时 以 外 ， 脚 本 还 可 以 使 用 ping 程序 。 这 是 一 个 使 用 非常 广泛 的 程序 。 类 似 地 ， 为 了 在 图 
表 中 绘制 数据 点 ， 脚 本 可 以 利用 现成 的 程序 ， 例 如 gnuplot 程序 。 这 样 做 可 以 证 省 数 干 行 的 代码 ， 
程序 员 也 可 以 在 完成 收集 、 人 处 理 、 显 示 信 息 的 前 提 下 创建 更 短小 的 脚本 。 

可 以 用 一 个 例子 来 说 明 上 述 概念 ， 并 且说 明 脚 本 的 相对 大 小 。 我 们 的 例子 应 用 了 两 个 独立 
的 脚本 : 一 个 是 用 于 收集 网 络 性 能 数据 的 监控 脚本 ， 另 一 个 是 用 于 按照 图 表 的 样式 输出 格式 化 
的 结果 供 管理 员 查 阅 的 绘图 脚本 。 我 们 首先 研究 监控 脚本 ,然后 再 考虑 绘图 脚本 和 它 的 输出 
结 采 。 

监控 脚本 使 用 ping 程序 来 探测 管理 员 指 定 的 目的 地 址 集合 。 脚 本 定期 进行 工作 ; 每 隔 五 分 
钟 ， 它 就 会 调用 ping 程序 检查 每 一 个 目的 地 址 。 对 于 一 个 给 定 的 目的 地 址 来 说 ，ping 程序 将 会 
发 送 5 个 请 求 ， 然 后 收集 这 些 请 求 的 啊 应 ， 最 后 计算 出 这 些 请 求 最 小 、 最 大 以 及 平均 的 往返 时 
闻 。 一 旦 ping 程序 报告 了 结果 ， 监 控 脚 本 提取 相关 的 数值 ， 并 且 为 目的 地 址 产生 一 行 附 加 一 个 
数据 文件 的 文本 。 因 为 对 于 入 们 来 说 ， 数 据 文件 是 不 可 读 的 ， 文件 中 的 每 一 行 仅仅 由 6 个 数字 组 
成 ， 它 们 分 别 代 表 时 间 惟 一 一 探测 活动 的 时 间 和 日 期 (从 1970 年 1 月 1 日 开始 计算 ,以 秒 为 单 
位 )、 发 送 的 ping 数据 包 的 数目 、 收 到 数据 包 的 数目 ， 最 小 、 平 均 以 及 最 大 的 往返 时 间 (AEE 
为 单位 ) 。 下 面 是 由 监控 脚本 生成 的 一 行文 本 的 例子 ; 


1143019606 5 5 36.007 48. 816 66.116 


在 例子 中 ， 发 送 了 5 个 ping 数据 包 ， 并 且 收 到 5 个 啊 应 数据 包 ， 最 小 的 往返 时 间 是 36. 007 
训 秒 ， 平 均 往 返 时 间 是 48. 816 毫秒 ， 最 大 往返 时 间 古 66. 116 毫秒 。 

图 13-2 包含 了 监控 脚本 的 代码 ， 它 使 用 expect 程序 来 处 理 ping 程序 的 输出 。 虽 然 脚 本 包括 
了 大 约 200 行文 本 ， 但 是 大 多 数 都 是 添加 的 注释 ， 用 于 玫 助 读者 更 好 地 理解 代码 。 
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#!/usr/bin/expect -f 
monitorscript ~ expect script that uses ping to monitor a set of hosts 


# 
# 
# 
# 
# 
# use: monitorscript config_file 

# 

# where config _file is a text file that contains a list of hosts to 
# be monitored, with one host name or IP address per line 

# 


# 
# Check for an argument and set variable hostfile to the argument 
# 


if {[llength $argv] == 0} { 
puts stderr "usage: ping.ex <config file>"; 
exit 1 


set hostfile [lindex $argv 0] 


# 

# load _ config - read the configuration file, place the contents in list 
# ‘hosts’ and create an output file to hold ping results for each 
# host in the list. 

# 


proc load_config {} { 
global hosts host_out hostfile 


# declare a list named ‘hosts’, or empty it, if it exists 
set hosts [list] 
# open the configuration file and append each line to list hosts 
set cf [open Shostfile r] 
while {{gets $cf line] >= 0} { 
lappend hosts $line 
# for each host, X, create an output file named monitor-X,raw 
foreach i $hosts { 


set host_out($i) [open "mdir/monitor-${i}.raw" a] 
fconfigure Shost_out ($i) -buffering line 


图 13-2 (EM ping 程序 监控 一 个 由 若干 主机 组 成 的 集合 ， 同 时 收集 数据 
并 显示 出 来 。 脚 本 使 用 了 一 个 配置 文件 来 决定 去 ping 哪 一 台 远程 主 机 
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reload_config - close the existing output files and reload the 
configuration (i.e., change the configuration file while 
the script is running). 


te w + tk 六 


proc reload_config {} { 
global hosts host_out reload 
foreach host Shosts { 
close Shost_out ($host) 
} 
unset hosts host_out 
load_config 
set reload 0 


# 
# check_status - check the global status variables and take action 


# 


proc check_status {} { 


if {$::die} exit 
if {$::reload} reload 


} 

# 

# lremove - remove the first occurance of an item from a list, and 
# retum the modified list 

# 


proc lremove {1 v} { 
set i [lsearch $1 $v] 
lreplace $1 $i Si 


# 
# Find a host ID in a list of IDs 
# 
proc host_by_id {idlist id} { 
lindex $::hosts [lsearch Sidlist $id] 


# 
# Program begins here: load a set of host names from the config file 


# 
load_config 


# 
# Initialize global variables and set traps to catch interrupts 


图 13-2 (4) 
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# 


set die 0 
set reload 0 


trap {set die 1; set wakeup ""} {SIGINT SIGTERM} 
trap {set reload 1} (SIGHUP} 































# | 
# Main loop: repeatedly ping the target hosts 
# 

set wakeup "" 
while {1} { 
check_status 


# get the current time (Unix epoch on Unix systems - seconds since 
# Jan 1, 1970) | 

set time [clock seconds] 

after 300000 { set wakeup "" } 

set host_ids [list] 





# ping each host on the list five times and record the results 





foreach host $hosts { 
Spawn -noecho ping -n -c 5 -i 5 -W 10 $host 
lappend host_ids $spawn_id 
wait -i Sspawn_id -nowait 

set results(Shost) [list] 








# create a list of hosts for which ping has been executed, and 
# iterate until a response has been received from each. 


set valid_ids $host_ids 
# continue iterating until the list is empty 
while {[llength $valid_ids]} { 
# use expect to analyze the output from ping 


expect -i $valid_ids \ 
eof { 
# case 1: when an end-of-file condition is encountered (i.e., 
# all output for a given host has been processed), remove the 
# host from the list. 
set valid_ids [lremove Svalid_ids Sexpect_out (spawn_id) ] 
} \ 
-indices -re {([0-9]+) packets transmitted, ([0-9]1+) received} { 
# case 2: if the next item in the ping output is a line that 
# gives packets transmitted and received, append the data to 


图 13-2 (8%) 
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# the record for the host. 

set host fhost_by_id Shost_ids $expect out (spawn_id) ] 

set results($host) [list Sexpect_out(1,string) \ 

Sexpect_out (2,string) ] 

} \ 
-indices -re {min/avg/max/mdev = ([0-9.]+)/({0-9.]+)/([0-9.]4+)} C 
# case 3: if the next item in the ping output is a line of 
# statistics that gives the minimum, average, and maximum 
# round-trip times, append the values to the record for the 
# host. 


lappend results ($host) Sexpect_out(1,string) \ 
Sexpect_out(2,string) Sexpect_out (3,string) 


# go through host list and write nonempty responses to output file 
# 


foreach host Shosts { 


if {[{llength $results(Shost)] > 2} { 
puts Shost_out (host) "Stime $results ($host)" 


# see if user aborted or requested a reload during the cycle 
# 


check_status 
# 
# wait for next iteration to begin 


# 


vwait wakeup 





E 13-2 (4) 


为 了 允许 管理 员 控 制 被 探测 的 月 的 地 址 的 集合 ， 脚 本 使 用 了 单独 的 配置 文件 。 配 置 文件 的 
每 一 行 都 包括 了 一 个 域名 和 一 个 卫 地 址 。 脚 本 会 读 取 配 置 文件 的 内 容 ， 然 后 创建 一 个 内 部 列表 
包含 所 有 需要 去 ping 的 目的 地 址 ， 最 后 利用 ping 程序 开始 探测 活动 。 

有 趣 的 是 ， 脚 本 允许 管理 员 在 任何 时 候 通过 发 送信 号 重新 载 人 配置 文件 。 也 台 是 说 ， 管 理 员 
不 需要 重启 脚本 。 一 旦 管理 员 编 辑 了 配置 文件 ， 就 会 发 送 一 个 信和 号， 脚本 会 根据 信号 停止 探测 当 
前 的 主机 集合 ， 然 后 重新 读 取 配置 文件 ， 再 开始 探测 新 的 主机 集合 。 

在 创建 相应 的 数据 文件 时 ， 脚 本 使 用 配置 文件 中 给 定 的 名 字 。 例 如 ， 如 果 配 置 文件 中 有 一 行 
的 域名 为 cnn. com， 脚 本 将 会 把 相关 的 数据 保存 在 名 字 为 ping-cnn. com. dat 的 文件 中 。 

一 旦 监控 脚本 收集 了 每 一 个 目的 地 址 的 数据 ， 并 且 为 每 一 个 目的 地 址 创建 了 文件 ， 那 么 管理 员 就 
使 用 第 二 个 脚本 将 数据 转换 成 图 表 的 格式 显示 出 来 。 绘 图 脚本 读 取 与 监控 脚本 相同 的 配置 文件 。 因 此 ， 
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如 有 果 配 置 文件 包含 了 cnn. com， 那 么 绘图 脚本 就 会 打开 文件 ping- cnn. com. dat， 然 后 在 文件 rtt- 
cnn. com. png 中 绘制 一 个 数据 的 图 表 。 该 图 表 参 照 标 准 的 形式 ， 可 以 在 Web 浏览 器 中 显示 出 来 。 
图 13-3 包括 了 绘图 脚本 的 代码 。 


#!/bin/sh 

# 

# Invoke the Gnu plot program to display output from monitorscript 
# 

# use: plotscript configfile [{directoryname] 

# 

# where the argument configfile is a monitorscript configuration file, 
# and the argument dirname is the name of a directory in which 

# monitorscript has stored output files. 

# 

DIR=monitordir 

case $# in 


1|2) if test "$#" = "2"; then 
DIR= t" $2 所 


fi 
CONFIG="$1" 


si 


echo ’use is: plotscript hostname [directoryname]’ >&2 
exit 1 


a. 
ar 


esac 
# 
# Run gnuplot to place a plot of the data for each host in the 
# monitor directory 220 
# 
for HOST in ‘cat $CONFIG'; do 
gnuplot > /dev/null 2>&1 <<EOF 
set timefmt "%s” 
set xdata time 
set format x "%m/%d %H:%M" 
set xtics rotate 
set title "RTT data for $HOST" 
set xlabel "Time and Date (EST) "* 
set yrange [0:1000] 
set ylabel "RTT (ms) " 
set y2range [0:100] 
set y2label Poss (%)" 
set terminal png size 800,600 
set output "S$DIR/rtt-SHOST. png" 
set key topleft 
set key box 


图 13-3 ”绘图 脚本 根据 监控 脚本 收集 的 数据 绘制 图 表 的 例子 。 
绘图 脚本 使 用 和 监控 脚本 相同 的 配置 文件 
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plot "$input" using (\$1 -~ 18000):4 title "Min. RTT" with lines, \ 
"$input" using (\$1 ~ 18000):5 title "Avg. RTT" with lines, \ 
"$input" using (\$1 ~- 18000):6 title "Max RTT" with lines, \ 
"$input" using (\$1 - 18000): (\$3/\$2) title "Loss to SHOST" \ 
axes xly2 with lines 





EOF 


graphfiles="$graphfiles \"SIN\" \ 
using (\$1 - 18000):5 title 0g RTT to SHOST\" with lines," 
done 


graphfiles=‘echo $graphfiles | sed -e ‘s/,$//'’ 


# 
# Run gnuplot again to produce a summary graph for all hosts‘ 
# 
gnuplot > /dev/null 2>&1 <<EOF 
set timefmt "ts" 
set xdata time 
set format x "%m/%d %H:%M" 
set xtics rotate 
set title “Aggregate RTT data" 
set xlabel "Time and Date (EST}" 
set ylabel "RIT (ms)" 
set terminal png size 800,600 
set output "$DIR/rtt-all.png" 
set key top left 
set key box 
plot $graphfiles 


























EOF 
图 13-3 【( 续 ) 
脚本 的 输出 形式 包含 了 可 以 在 用 户 屏幕 上 显示 的 表格 。 图 13-4 说 明了 输出 结果 的 形式 ” 。 
1200 google. com 的 往返 时 间 ( 以 毫秒 为 单位 ) 
1000 + | 
800+ 
600 - 
400[ | 
2007 
ot —— | 
04/07 04/14 04/21 04/28 


图 13-4 图 13-3 中 的 脚本 所 绘制 的 图 表 。 灰 色 表 示 平 均 往 返 时 间 ， 蓝 色 表 示 最 大 往返 时 间 


O 图 13-4 中 的 图 表 是 根据 真实 的 数据 绘制 的 。 这 些 数据 是 利用 监控 脚本 测量 出 一 台 从 位 于 西 拉 法 叶 城 的 
到 位 于 印第安 纳 州 Google 站 台 的 往返 延 时 而 得 到 的 。 计算 机 
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在 图 中 ， 显 示 结 果 延 续 了 很 多 天 ， 在 和 X 轴 上 指出 了 每 一 个 星期 的 情况 。Y 轴 用 于 表示 往返 
时 间 ， 平 均值 用 灰色 表示 ， 最 大 值 用 蓝 色 表 示 。 在 管理 员 显 示 器 上 ， 往 往 用 多 种 颜色 表示 最 小 、 
平均 以 及 最 大 的 延 时 。 
”除了 为 每 一 个 目的 地 址 创建 图 表 之 外 ,图 13-3 中 的 脚本 创建 了 一 个 包含 配置 文件 中 所 有 目 
的 地 址 数据 的 摘要 图 表 。 每 一 个 目的 地 址 都 使 用 了 单独 的 颜色 。 这 一 点 可 概括 如 下 : 


使 用 现 有 程序 来 收集 和 显示 测量 信息 的 脚本 比 一 个 程序 员 用 传统 语言 编写 的 软件 更 


小 、 更 简单 。 





13.12 使 用 脚本 作为 扩展 机 制 


昌 然 单机 脚本 十 分 有 用 而 且 生 产 成 本 低 于 普通 软件 ， 但 是 脚本 最 具 吸 引力 的 一 个 方面 是 利 
用 脚本 作为 网 络 产品 的 扩展 机 制 。 实 际 上 ， 供 应 商 在 生产 产品 时 会 预先 定义 好 一 套 扩 展 点 (ex- 
tension point) 集合 ， 这 些 扩 展 点 通常 被 称 为 钧 子 (hook)。 当 配置 产品 时 ， 网 络 管理 员 可 以 指定 
每 一 个 扩展 点 调用 一 个 脚本 。 一 旦 配置 完成 ,产品 就 会 自动 地 运行 脚本 一 一 每 当 产 品 运 行 到 扩 
展 点 的 时 候 ， 就 会 调用 相关 的 脚本 。 

本 章 之 前 曾 介 绍 过 ， 在 产品 调用 脚本 的 时 候 最 好 运行 在 一 个 低速 的 环境 或 者 每 秒 只 处 
理 少量 数据 包 。 我 们 现在 知道 为 什么 会 这 样 : 因为 脚本 通常 是 用 解释 性 语言 编写 的 ， 执 行 
起 来 比较 缓慢 。 特 别 地 ， 当 脚本 作为 服务 器 的 扩展 功能 而 工作 的 时 候 ， 由 于 请 求 较 少 〈 例 
如 ， 只 有 少量 数据 包 ) ， 服 务 器 在 响应 之 前 可 以 完成 大 量 计算 。 因 此 ， 脚 本 带 来 的 额外 消耗 
并 不 是 很 大 。 这 样 就 很 容易 理解 为 什么 脚本 扩展 功能 适用 于 大 多 数 服务 器 : 一 个 服务 冀 作 
为 应 用 程序 运行 时 ， 意 味 着 留 给 脚本 的 接口 与 硬件 机 制 与 脚本 之 间 的 接口 相 比 是 微不足道 
的 。 概 括 如 下 : 


一 个 支持 脚本 扩展 的 网 络 产品 会 包括 一 系列 扩展 点 。 在 这 些 扩 展 点 上 上， 产品 可 以 调用 


脚本 。 脚 本 扩展 特别 适用 于 作为 应 用 的 服务 器 。 





13. 13 服务 器 使 用 扩展 脚本 的 例子 


为 了 进一步 了 解 脚本 扩展 的 概念 ， 我 们 研究 下 面 的 例子 。 假 如 供应 商 决 定 创建 一 个 可 
扩展 的 DHCP 服务 器 ?。 该 服务 器 的 首要 任务 就 是 在 计算 机 启动 时 为 计算 机 分 配 IP 地址 。 
虽然 DHCP 服务 器 也 处 理 更 新 请 求 ， 但 是 我 们 仅仅 研究 新 的 请 求 就 足够 了 。 因 此 ， 从 服务 
器 的 角度 来 看 ， 一 个 进入 的 数据 包 包 含 了 申请 下 地 址 的 请 求 ， 出 去 的 数据 包 包含 了 对 客户 
端的 响应 。 

虽然 看 似 简单 ， 但 是 当 数据 包 到 达 时 ，DHCP 服务 器 会 进行 若干 步 处 理 。 图 13-5 列 出 了 服 
务 器 处 理 一 个 DHCP 请 求 的 步骤 。 

图 中 的 大 多 数 步 又 都 是 自 解释 的 。 当 一 个 数据 包 到 达 时 ， 服 务 器 会 检查 它 的 正确 性 。 
如 果 请 求 是 有 效 的 ， 那 么 服务 器 通过 提取 数据 包 中 的 字段 并 将 其 存 人 一 个 内 部 数据 结构 中 
来 进行 优化 。 连 续 的 处 理 步骤 针对 的 是 数据 结构 中 的 选项 ， 而 不 对 原始 数据 包 中 的 字段 进 
行 操作 。 


”我 们 的 例子 主要 是 基于 Cisco 公司 的 CNS Network Registrar (CNR) 产品 , 但 是 描述 非常 简单 。 
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.接收 下 一 个 进入 的 数据 包 ， 并 且 验 证 该 数据 包 是 否 包 含 一 个 有 效 的 DHCP 请 求 。 

. 正确 解码 数据 包 中 的 信息 ， 并 把 数值 保存 在 一 个 内 部 结构 中 。 

. 将 客户 进行 归 类 (比如 将 客户 分 配 到 某 个 租赁 地 址 的 集合 中 ) 。 

为 客户 查询 一 个 地 址 ， 计 算 租 期 ， 并 且 开 始 收集 啊 应 的 相关 信息 。 

. 在 响应 中 加 入 必要 的 附加 信息 (比如 ，boot 文件 名 ) 。 

. 将 响应 信息 按照 DHCP 消息 正确 的 格式 进行 编码 ， 构 造 一 个 应 答 数 据 包 。 

. 将 租赁 的 信息 更 新 到 非 易 失 性 的 数据 存储 单元 中 《比如 磁盘 上 的 信息 ) ， 并 发 送 响应 。 
. 执行 动态 DNS 更 新 ， 为 已 经 分 配 的 地 址 创建 一 个 DNS 记录 。 


1 
2 
3 
4. 
5 
6 
7 
8 





R 13-5 当 申 请 新 地 址 的 数据 包 到 达 时 ，DHCP 服务 器 处 理 步 又 的 列表 。 
图 中 省 略 了 服务 器 产品 中 的 许多 细节 


第 3 步 也 许 最 令 人 难以 理解 。 为 了 理解 这 一 步 的 必要 性 ,我 们 考察 一 个 同时 管理 多 个 让 地 
址 集合 的 DHCP 服务 器 。 在 最 简单 的 情况 下 ， 每 一 个 地 址 集合 都 与 一 个 下 子 网 相关 联 。 当 服务 
占 为 客户 选择 地 址 时 ， 就 根据 客户 所 在 的 子 网 选择 相关 的 地 址 集合 。 在 更 加 复杂 的 情况 下 ，ISP 
可 能 会 为 每 一 个 客户 分 配 一 个 地 址 集合 ， 然 后 用 分 配 的 地 址 来 控制 路 由 和 优先 级 。 在 任何 情况 
下 ， 当 客户 端的 请 求 到 达 时 ，DHCP 服务 器 会 根据 数据 包 中 的 信息 为 客户 分 配 一 个 特定 的 地 址 集 
合 。 按 照 商 业 术 语 ， 我 们 使 用 类 (class) 这 个 名 词 来 表示 一 个 地 址 集合 。 也 就 是 说 ， 服 务 器 为 
客户 分 配 了 一 个 特殊 的 类 。 

一 旦 将 客户 分 配 到 一 个 类 中 ， 服 务 俘 就 能 够 查询 地 址 并 且 为 地 址 计算 租 期 。 服 务 器 创建 了 
一 个 内 部 数据 结构 来 保存 响应 消息 的 选项 ， 然 后 把 这 些 选项 填 人 信息 中 。 一 旦 所 有 的 选项 都 收 
集 完 毕 并 且 通 过 了 验证 ， 那 么 服务 器 就 会 根据 DACP 协议 标准 对 每 一 个 选项 进行 编码 ， 然 后 生 
成 一 个 相应 消息 。 在 发 送 响应 数据 包 之 前 ， 服 务 需 将 租赁 信息 保存 在 磁盘 上 。 因 此 ， 即 使 发 生 遂 
溃 或 重启， 服务器 也 已 经 保存 了 关于 地 址 租赁 的 记录 。 

图 13-5 中 的 最 后 一 步 指 出 服务 顺应 该 有 DNS 更 新 功能 。 通 常 ，DHCP 服务 做 在 DNS 服务 器 上 
既 安 装 了 正 向 映射 ， 又 安装 了 反 回 上 映射。 当 客户 器 计算 机 与 使 用 DNS 进行 认证 通信 的 服务 器 通信 
时 ,更 新 DNS 是 非常 重要 的 (例如 ,一些 电 子 邮 件 服务 器 使 用 反 向 DNS 来 对 客户 进行 认证 ) 。 


13.14 服务 器 扩展 点 的 例子 


到 目前 为 止 , 已 经 介绍 了 DHCP 服务 器 采取 的 主要 步骤 。 因 此 ， 我 们 很 容 多 理解 扩展 点 是 
如 何 加 入 到 服务 器 中 的 。 图 13-6 给 出 了 7 个 扩展 点 。 

第 一 个 扩展 点 post- packet- decode 在 请 求 被 接收 之 后 进行 地 址 查询 之 前 调用 。 这 种 扩展 的 主 
要 目的 就 是 满足 对 数据 包 进 行 过 滤 的 需求 : 脚本 能 够 对 进入 的 请 求 进行 检查 并 且 决 定 接 收 还 是 
拒绝 该 请 求 〈( 比如， 决定 是 否 允 许 处 理 过 程 继 续 进 行 或 者 声明 请 求 是 无 效 的 )。 因 为 外 部 脚本 实 
现 了 该 扩展 功能 ， 所 以 管理 员 能 够 创建 一 个 脚本 执行 任何 过 滤 策 略 。 例 如 ， 为 了 防止 未 授权 的 计 
算 机 获得 地 址 ， 管 理 员 可 能 会 选择 阻止 茶 些 会 造成 安全 威胁 的 计算 机 ,或 是 要 求 每 个 用 户 在 发 
送 DHCP 请 求 之 前 注册 他 们 的 计算 机 。 

其 他 扩展 点 允许 管理 员 在 处 理 过 程 的 每 一 步 中 控制 服务 器 。 例 如 ，pre-client-lookup È 
许 外 部 脚本 为 数据 包 选 择 地 址 类 别 ， 这 样 就 赋予 了 管理 员 在 一 般 的 策略 之 外 做 出 选择 的 权 
力 。pre-packet-encode 允许 管理 员 在 发 送 响 应 消息 之 前 修改 服务 器 做 出 的 决定 (比如 修改 默 
Art hae). A13-6 给 出 了 整个 处 理 过 程 ， 并 且 指 出 了 每 一 个 扩展 脚本 是 在 什么 时 候 
被 调用 的 。 
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接收 数据 包 

解码 数据 包 

将 客户 归 类 

查询 地 址 

数据 包 
处 理 post p 

生成 响应 调用 脚本 
编码 数据 包 





post-send-packet 
pre-dns-add-forward 






图 13-6 举例 说 明了 DHCP 服务 器 中 调用 脚本 的 扩展 点 。 
脚本 既 可 以 修改 数值 又 可 以 控制 处 理 过 程 


13.15 脚本 接口 的 功能 


图 13-6 描述 了 一 个 扩展 处 理 过 程 。 对 于 一 个 现实 的 服务 大 来 说 ， 还 有 许多 细节 没有 展示 出 
来 。 例 如 ， 除 了 允许 脚本 检测 和 更 改 与 请 求 相关 的 选项 以 外 ， 服 务 器 与 脚本 之 间 的 接口 能 够 提供 
一 种 允许 脚本 拒绝 请 求 的 机 制 。 也 就 是 说 ， 当 返回 时 ， 脚 本 能 够 返回 一 个 代码 ， 指 示 服 务 器 停止 
处 理 请 求 并 丢弃 数据 包 。 作 为 替代 ， 接 口 允许 脚本 要 求 服 务 屁 停止 处 理 请 求 并 且 给 客户 返回 一 
个 错误 消息 。 

虽然 脚本 能 够 检查 和 更 改 与 请 求 有 关 的 任意 值 ， 但 是 服务 器 与 脚本 之 间 的 接口 应 该 防止 脚 
本 对 服务 器 采取 不 正当 的 行为 。 一 种 保护 技术 使 用 了 隔离 的 概念 : 服务 器 限制 了 脚本 能 够 修改 
的 数值 。 例 如 ， 在 调用 脚本 之 前 ， 服 务 器 能 够 创建 一 个 新 的 命名 空间 〈 例 如 ， 一 个 新 的 变量 字 
典 )， 将 与 当前 请 求 相关 的 数据 拷贝 至 字典 中 ， 并 在 只 能 访问 新 命名 空间 的 环境 中 运行 脚本 。 因 
为 脚本 只 能 访问 拷贝 ， 所 以 它 不 能 够 更 改 服务 器 中 的 原始 数据 。 在 脚本 完成 工作 后 ,服务器 能 够 
检查 拷贝 中 的 数值 ， 判 断 这 些 修改 是 否 正 确 ， 最 后 才 将 相同 的 更 改写 人 原始 数据 中 。 
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我 们 可 以 概括 如 下 : 


虽然 服务 器 与 脚本 之 间 的 接口 允许 脚本 拒绝 请 求 和 控制 处 理 过 程 ， 但 是 接口 应 当 防 止 





脚本 对 服务 器 的 不 正当 行为 。 


13.16 服务 器 扩展 脚本 的 例子 


为 了 阐明 概念 ， 我 们 考虑 图 13-7 中 的 脚本 。 该 脚本 通过 丢弃 所 有 的 DHCPDECLINE 消息 增 
强 DHCP 服务 器 的 安全 性 。 昌 然 DACP 协议 允许 客户 利用 该 消息 来 终止 对 某 一 地 址 的 使 用 , 但 
是 一 台 亚 意 的 主机 可 以 发 送 一 系列 decline 消息 标记 地 址 失效 。 为 了 防止 这 种 攻击 ， 站 点 可 以 利 
用 脚本 作为 服务 器 的 扩展 功能 ， 让 服务 器 忽略 每 一 条 decline 消息 。 


Example discard script for Cisco's DHCP server (CNR product) 


Purpose: . 
Security/safety enhancement that prevents a malicious client 
from declaring all leases in a scope unavailable. 


Operation: 
Causes server to ignore all DHCPDECLINE messages. 


Attached to the server's post-packet-decode extension point. 
Refer to the vendor’s documentation for notes on how to 
configure and enable the extension. 


Arguments : 
Dictionaries for the request, the response, and the server 
environment. Refer to the vendor’s documentation for the 
set of items in each dictionary. 


$b 4k JF i d OSE 4E oe Se ode dk FE OAR OSE dt fe dk OE OE OE Ete HH: 


To enable logging, change global variable LogDeclineDrops to "1" 


set LogDeclineDrops "0" 


proc DropDecline { request response environ } { 
global LogDeclineDrops . 


# Set variable msgtype to the message type from the incoming packet 
set msgtype [ S$request get dhcp-message-type | 


# if the message type is DHCPDECLINE (value 4), drop the packet 
 # and send a log message (provided logging is enabled) 


图 13-7 Cisco DHCP 服务 器 使 用 扩展 脚本 的 一 个 例子 ， 脚 本 用 Tcl 语言 编写 。 
脚本 让 服务 器 丢弃 所 有 的 DHCPDECLINE 消息 《〈 比 如， 类 型 字段 是 4 的 消息 ) 
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if { Smsgtype == 4} { 
Senviron put drop true 


# if logging enabled, generate a log message. 


if { $LogDeclineDrops } { 


Senviron log LOG_INFO "DropDecline: dropping a DHCPDECLINE \\ 
message from host with address’<[ Srequest get chaddr ]>‘" 





图 13-7  (%) 


扩展 点 、 上 服务 器 与 脚本 之 间 的 接口 所 使 用 编程 语言 的 细节 需要 在 服务 器 创建 之 后 才能 定义 。 
例如 ， 虽 然 图 中 的 代码 使 用 Tecl 编写 ， 但 是 Cisco 公司 的 服务 器 也 允许 使 用 C 语言 或 者 C++ 语言 
编写 扩展 脚本 。 

在 图 13-7 中 ， 哈 希 标 记 #E 义 了 一 条 注释 的 开始 ， 哈 希 标记 后 面 的 内 容 可 以 删除 ， 并 且 不 影 
响 脚 本 的 功能 。 除 此 之 外 ， 还 插入 了 空 行 ， 这样 做 是 为 了 增强 代码 的 可 读 性 。 如 图 所 示 ， 脚 本 并 
不 需要 太 长 一 一 即使 为 了 增强 可 读 性 让 每 一 个 大 括号 都 独立 成 行 ， 可 执行 代码 也 只 占用 了 12 行 。 

扩展 脚本 的 名 字 为 DropDecline， 它 在 服务 胡 接 收 到 数据 包 并 且 将 DHCP 消息 解码 之 后 被 调 
用 。 在 供应 商 的 术语 中 ， 管 理 员 必须 配置 服务 器 ， 使 脚本 与 扩展 点 post-packet- decode 联系 起 来 。 
为 了 方便 管理 员 理 解 ， 在 选择 脚本 的 文件 名 时 必须 反映 扩展 点 。 例 如 ， 图 中 的 脚本 可 能 存放 在 文 
件 post- packet- decode- drop- decline. tcl 中 。 

例子 代码 是 为 需要 向 脚本 传递 三 个 参数 的 服务 器 构建 的 。 每 一 个 参数 就 是 一 个 字典 《dic- 
tionary ) 。 也 就 是 说 ， 每 一 个 参数 定义 了 一 个 命名 空间 ， 每 一 个 命名 空间 包含 下 面 一 对 约束 : 

(name, value ) 

字典 为 每 一 个 选项 包含 了 附加 信息 ， 这 些 信息 指明 脚本 是 否 可 以 读 选 项 、 可 更 改选 项 ， 或 是 两 者 乡 可 。 

第 一 个 字典 称 为 request， 包 含 了 DHCP 请 求 中 的 选项 。 第 二 个 字典 称 为 response, STW 
应 答 收 集 的 所 有 选项 。 在 数据 包 到 达 以 后 ， 服 务 器 道 过 在 请 求学 上 典 中 为 数据 包 中 的 每 一 个 字段 
创建 选项 来 对 数据 包 进 行 解 码 。 人 例如， 请求 字典 可 能 会 包含 记录 客户 端 MAC 地 址 的 选项 ， 也 可 
能 包括 DHCP 消息 头 的 每 一 个 字段 ， 等 等 。 

响应 字典 也 包括 了 与 DHCP 数据 包 字 段 相 对 应 的 变量 。 但 是 ， 响 应 中 的 选项 并 不 是 从 到 达 
的 数据 包 中 获得 的 。 相 反 ， 这 些 选 项 与 填 人 应 答 数 据 包 中 的 值 相 关 (比如 ， 使 用 啊 应 字典 的 服 
务 需 会 为 应 答 消息 收集 信息 ) 。 

第 三 个 参数 称 为 environ， 与 在 Unix 或 者 Windows 系统 中 的 环境 (environment) 的 概念 类 
似 一 一 该 参数 包含 了 一 个 已 命名 选项 的 集合 ， 这 些 选 项 描述 了 服务 器 的 运行 时 系统 和 控制 服务 
器 处 理 过 程 时 的 特性 。 例 如 ，environ 字典 包含 了 一 个 名 为 drop 的 布尔 变量 。 为 了 指明 服务 器 应 
该 丢弃 请 求 ， 脚 本 必须 在 向 服务 器 返回 控制 之 前 将 drop 变量 设置 为 真 值 。 在 图 13-7 中 ， 仅 仅 用 
了 一 行 代码 就 完成 了 设置 drop $E, AWAWI: 


$environ put drop true 


例子 脚本 中 的 操作 是 微不足道 的 。 脚 本 一 开始 就 从 请 求 字 典 中 提取 消息 类 型 。 也 就 是 说 ， 脚 
本 在 请 求 字典 中 查找 DHCP 消息 的 类 型 字段 ， 然 后 将 其 数值 拷贝 至 变量 msgtype。 如 果 消 息 的 类 
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型 是 4， 那 么 脚本 就 将 变量 drop 的 值 设 置 为 true。 

注意 ， 从 脚本 的 角度 来 看 ， 丢 弃 数 据 包 的 代码 是 微不足道 的 。 事 实 上， 脚本 仅 仪 是 给 变量 指 
定 了 一 个 值 ， 而 服务 器 则 负责 完成 清除 状态 的 内 部 细节 (例如 ， 删 除 信息 并 且 回 收 内 存 )。 这 一 
点 概括 如 下 : 


在 许多 情况 下 ， 脚 本 仅仅 决定 了 应 该 做 什么 ， 而 服务 器 则 完成 必要 的 操作 。 例 如 ， 如 


果 要 丢弃 一 个 数据 包 ， 脚 本 仅仅 设置 了 变量 的 数值 ， 然 后 由 服务 器 处 理 若 干 细 节 ， 比 
如 重新 分 配 缓冲 区 等 。 





13.17 “处理 应答 脚 本 的 例子 


图 13-7 例子 中 的 脚本 关注 进入 的 数据 包 〈 比 如， 一 个 请 求 ) 。 为 了 理解 为 什么 管理 员 需 要 更 
改 输出 的 数据 包 (比如 ， 一 个 应 答 ) ， 我 们 考虑 一 个 由 许多 运行 Unix 操作 系统 的 客户 端 组 成 的 
网 络 。 当 一 个 DHCP 服务 器 分 配 IP 地 址 的 时 候 ，Unix 系统 希望 消息 中 相应 的 字段 包含 正确 的 主 
机 名 (host name) 。 因 此 ， 在 一 个 由 Unix 客户 端 组 成 的 网 络 中 ， 管 理 员 必须 为 DHCP 服务 器 安 
排 一 个 主机 名 。 

脚本 是 怎样 将 主机 名 加 入 数据 包 的 呢 ?” 我 们 可 能 会 看 出 ， 服 务 咒 可 以 先 创 建 一 个 数据 包 ， 然 
后 允许 脚本 修改 数据 包 。 但 是 ， 上 面 介绍 的 DHCP 服务 器 并 不 允许 脚本 直接 修改 输出 的 数据 包 。 
相反 ， 脚 本 仅仅 可 以 访问 服务 器 为 生成 响应 而 收集 来 的 信息 。 在 数据 包 创 建 之 前 ， 脚 本 既 可 以 读 
取 也 可 以 修改 这 些 信息 的 数值 。 一 旦 扩展 脚本 完成 了 相应 的 修改 ， 那 么 服务 器 就 会 根据 修改 后 
的 信息 创建 最 终 的 数据 包 。 因 此 ， 为 了 控制 输出 数据 包 ， 脚 本 只 需要 改变 响应 (response) 字典 
中 的 数值 即 可 。 例 如 ， 为 了 强制 服务 器 在 输出 数据 包 中 包含 主机 名 ， 脚 本 只 需要 将 主机 名 分 配给 
响应 字典 中 的 一 个 变量 。 图 13-8 的 例子 中 的 脚本 就 包含 了 上 述 代码 ， 它 能 够 保证 在 发 送 给 客户 

端的 装 有 IP 地 址 的 DHCP 响应 中 包含 一 个 主机 名 。 


Example script to insert a host name in a DHCP reply 


Purpose: 
Accommodate clients such as Unix computers that expect a 
DHCP reply message to contain a valid host name. 


Operation: 
Force server to include the host name in outgoing reply 
messages. 


Attached to the server’s pre-packet-encode extension point. 
Refer to the vendor’s documentation for notes on how to 
configure and enable the extension. 


Arguments : 
Dictionaries for the request, the response, and the server 
图 13-8 Cisco System 的 DHCP 服务 器 使 用 扩展 脚本 的 一 个 例子 。 该 脚本 使 服务 器 
在 每 一 个 包含 租赁 信息 的 应 管 中 添 加 一 个 主机 名 。 脚 本 是 用 Tcl 语言 编写 的 


# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
# 
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environment. Refer to the vendor’s documentation for the 
set of items in each dictionary. 


proc AddHostName { request response environ } { 


# Set variable msgtype to the message type in the outgoing packet 


set msgtype [ Sresponse get dhcp-message-type 1 

# if the reply message type is not DHCPDECLINE (value 4) or 

# DHCPNACK (value 6), copy the client host name value from the request 
# dictionary into the host name field in the response. 


if { Smsgtype != 4 && Smsgtype != 6 } { 


Sresponse put host-name [ $request get client-host-name ] 





图 13-8 (48) 


我 们 观察 到 图 中 的 代码 并 不 能 育 目 地 在 每 一 个 输出 消息 中 设置 主机 名 选项 。 相 反 ， 肢 本 只 
在 那些 装 有 IP 地 址 并 生发 送 到 客户 端的 消息 中 设置 主机 名 。 例 如 ， 如 果 服 务 器 拒绝 了 一 个 请 求 ， 
那么 装 有 拒绝 信息 的 消息 就 不 需要 设置 主机 名 选项 。 

为 了 执行 上 述 约束 ， 脚 本 会 检查 消息 的 类 型 ， 并 且 只 有 当 消 息 的 类 型 是 DHCPDECLINE 或 
者 DHCPNACK 时 才 会 设置 主机 名 。 因 为 需要 关注 输出 数据 包 ， 脚 本 不 能 够 检查 到 达 数 据 包 的 消 
息 类 型 。 也 就 是 说 ， 肢 本 只 会 检查 输出 消息 的 消息 类 型 而 不 会 检查 输入 消息 的 消息 类 型 。 

一 条 输出 消息 一 旦 被 认为 需要 加 载 主机 名 ， 那 么 脚本 就 会 执行 下 面 的 代码 : 


$ response put host-name [ $ request get client-host-name ] 


实质 上 代码 指出 ， 请 求 字 典 中 变量 client- host- name 的 数值 应 该 拷贝 到 响应 字典 中 的 变量 host- 
name 中 去 。 | 

除非 进一步 了 解 变量 的 意义 ， 否 则 我 们 不 能 够 理解 上 述 代 码 。 程 序 员 是 如 何 知道 输出 数据 
包 的 消息 类 型 已 经 存储 到 响应 字典 中 了 了 呢 ? 程序 员 又 是 如 何 知道 将 请 求 字典 中 的 客户 主机 名 找 
贝 至 响应 字典 中 的 host-name 变量 里 的 呢 ? 程序 员 又 是 如 何 知道 请 求 字典 中 客户 主机 名 变量 的 数 
值 是 正确 的 呢 ? 

上 述 三 个 问题 的 答案 是 : 服务 器 供应 商 为 字典 中 的 每 一 个 选项 指定 了 精确 的 语义 ,包括 选 
项 的 意义 、 可 能 被 分 配 到 的 数值 、 选 项 在 哪些 时 候 是 正确 的 。 因 此 ， 为 了 编写 正确 而 又 意义 的 代 
B, 程序 员 必须 理解 这 些 假设 ,并 且 保 证 为 每 一 个 变量 定义 了 服务 器 接口 。 我 们 可 概括 如 下 : 


字典 中 变量 的 详细 信息 以 及 它们 的 语义 由 供应 商 来 指定 。 在 创建 正确 的 扩展 脚本 之 


前 ， 程 序 员 必 须 熟 悉 变 量 在 每 一 个 字典 中 的 名 称 和 确切 含义 。 





13.18 ”使 用 一 个 脚本 处 理 多 个 任务 
作为 产品 的 脚本 通常 比 我 们 例子 中 的 脚本 更 加 复杂 ， 主 要 原因 在 于 服务 器 限制 每 一 个 扩展 
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点 只 能 有 一 个 脚本 。 因 此 ， 商 品 化 的 脚本 通常 包含 了 一 系列 任务 。 

图 13-8 的 例子 中 展示 的 就 是 一 个 脚本 商品 化 的 版 本 。 该 脚本 可 能 会 包含 一 些 附 加 代码 用 于 
检测 那些 到 达 服 务 器 的 多 余数 据 包 。 一 段 扩展 脚本 可 以 丢弃 来 自 特定 客户 端的 数据 包 或 者 用 于 
微软 RAS 服务 的 数据 包 。 一 段 扩展 脚本 也 可 以 检查 客户 ID， 并 且 根 据 ID 将 数据 包 分 配 到 指定 
的 地 址 类 中 。 因 此 从 总 体 上 看 ,一 段 扩 展 脚本 的 结构 可 能 由 条 件 判断 语句 构成 ， 如 下 所 示 : 

if ( message is DHCPDECLINE ) 

drop the packet and send a log message 
if ( message is an RAS message ) 

drop the packet and send a log message 
if ( client ID is for a Cable customer ) 

set the address class to cable_subscriber 


这 一 总 可 概括 如 下 : 


限制 在 一 个 扩展 点 只 使 用 一 个 脚本 会 导致 每 个 脚本 处 理 多 个 不 相关 的 任务 。 一 个 典型 


的 扩展 脚本 由 一 系列 的 条 件 判断 和 执行 动作 构成 。 





13.19 脚本 执行 时 间 、 外 部 访问 以 及 开销 


由 于 脚本 通常 十 分 微小 ， 本 章 例 子 中 的 脚本 的 执行 时 间 很 少 。 即 便 考 虑 了 调用 和 人 解释 执行 
的 开销 ， 例 子 中 的 脚本 也 没有 使 服务 顺 处 理 请 求 和 发 送 响应 的 时 间 有 显著 的 增加 。 但 是 ， 在 脚本 
执行 复杂 的 计算 时 ， 开 销 是 一 个 非常 重要 的 因素 。 因 此 ， 在 配置 扩展 脚本 之 前 ， 管 理 员 应 该 了 解 
潜在 的 开销 ， 并 决定 这 些 多 余 的 延 时 是 否 合理 。 

在 扩展 脚本 访问 外 部 资源 的 情况 下 ， 附 加 延 时 是 非常 重要 的 。 例 如 ， 可 以 构建 一 个 扩展 脚本 
用 于 在 非 易 失 性 设备 (比如 ,一 个 外 部 的 磁盘 ) 上 维护 永久 的 状态 。 这 样 做 会 使 访问 的 开销 增 
加 几 个 数量 级 。 作 为 为 一 种 选择 ， 脚 本 可 以 使 用 网 络 来 访问 其 他 服务 。 例 如 ， 要 对 请 求 做 出 决 
定 ， 扩 展 脚 本 可 以 访问 远程 数据 库 ， 该 数据 库存 储 了 客户 信息 以 及 如 何 响应 每 一 个 客户 的 记录 。 
利用 外 部 存储 ， 访 问 远 程 服务 会 使 处 理 时 间 增 加 几 个 数量 级 。 

我 们 可 以 概括 如 下 : 


访问 二 级 存储 设备 上 数据 的 脚本 ， 以 及 通过 网 络 访问 远程 数据 库 或 者 其 他 远程 设备 的 





脚本 会 同时 增加 处 理 请 求 的 时 间 。 


13.20 Me 


由 于 在 制造 产品 时 设计 者 需要 选择 配置 参数 ， 因 此 一 个 产品 的 适用 范围 与 通用 性 受到 设计 
者 预料 未 来 需求 和 使 用 情况 的 能 力 的 制约 。 因 此 ， 可 配置 产品 会 重复 更 新 ， 不 断 循 环 。 在 更 新 循 
环 中 ， 只 有 通过 在 产品 的 后 继 版 本 中 修改 或 增加 相应 配置 参数 ， 才 能 更 改 产 品 的 使 用 范围 。 

脚本 技术 提供 了 一 种 更 改 严格 配置 的 方法 。 脚 本 虽然 降低 了 创建 和 修改 软件 的 代价 ， 但 是 
也 降低 了 运行 时 的 性 能 。 目 前 有 两 大 类 用 于 网 络 管理 的 脚本 : 单机 脚本 和 扩展 脚本 。 单 机 脚本 可 
以 像 应 用 程序 一 样 运行 。 它 在 实现 重复 管理 任务 的 自动 化 方面 作用 显著 。 

expect 程序 是 一 种 与 命令 行 接口 配套 使 用 的 脚本 技术 。expect 能 够 与 一 个 或 多 个 网 络 元 素 
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(甚至 是 管理 员 ) HTH. expect 程序 的 指令 被 保存 在 一 个 称 为 expect 脚本 的 命令 文件 中 。ex- 
pect 脚本 不 能 够 盲目 地 向 远程 系统 发 送 按键 信息 。 相 反 ， 肢 本 可 以 将 来 自 远 程 系 统 的 啊 应 作为 条 
件 ， 决 定 脚本 将 如 何 运 行 。expect 脚本 在 所 有 网 络 元 素 都 使 用 相同 的 CLI 的 环境 中 工作 得 非常 
出 色 。 

关于 脚本 的 一 个 十 分 有 趣 的 使 用 就 是 网 络 产品 的 扩展 机 制 。 为 了 使 用 脚本 ， 产 品 必须 定义 
扩展 点 ， 每 一 个 扩展 点 与 一 个 脚本 相关 联 。 因 为 脚本 运行 缓慢 ， 所 以 在 应 用 程序 中 接 人 脚本 比 在 
硬件 系统 接 人 脚本 更 加 容易 。 攻 展 脚本 在 低速 的 产品 中 《〈 比 如， 实现 为 应 用 程序 的 服务 器 ) T 
作 得 最 为 出 色 。 

我 们 考察 了 用 于 DHCP 服务 器 的 简单 扩展 脚本 。 该 脚本 是 Cisco CNR 产品 不 可 分 割 的 一 部 
分 。 脚 本 的 接口 并 不 允许 脚本 访问 服务 器 的 内 部 数据 结构 。 相 反 ， 接 口 包 括 三 个 存储 名 字 值 对 的 
字典 。 一 个 字典 包含 了 来 自 请 求 数据 包 的 选项 ; 另 一 个 字典 包含 了 为 响应 数据 包 收 集 的 选项 ;第 
三 个 字典 包含 了 来 目 服 务 邵 运行 时 环境 的 选项 。 为 了 考察 进入 的 消息 ， 脚 本 必须 参考 请 求 字典 
中 的 选项 ; 为 了 增加 或 修改 响应 消息 中 的 字段 ， 脚 本 修改 响应 字典 中 的 选项 。 最 终 ， 为 了 控制 处 
理 过 程 ， 肢 本 必须 更 改 环境 字典 中 的 选项 ， 服务 器 在 决定 如 何 处 理 时 会 参考 字典 中 的 数值 。 虽 然 
脚本 为 扩展 产品 提供 了 方便 的 机 制 ， 但 是 允许 脚本 访问 外 部 存储 设备 或 远程 服务 会 明显 增加 处 
理 过 程 的 站 时 。 


未 来 研究 


expect 程序 的 信息 可 以 在 expect 的 主页 上 找到 : 
http: //expect. nist. gov/ 
使 用 expect 脚本 的 网 络 管理 工具 的 例子 可 以 在 下 面 网 址 中 找到 : 
http; //www. tcl. tk/customers/success/netmanage. html/ 

提供 扩展 点 的 Cisco CNR 产品 提供 了 PP 地址 管理 功能 ， 包括 DHCP 和 DNS 服务 器 。 关 于 它 

的 描述 可 以 在 下 面 的 网 站 中 获得 : 
http: //www. cisco. com/ en/ US/products/ sw/netmgtsw/ps1982/index. html/ 

除了 供应 商 提供 脚本 机 制 以 外 ， 一 些 开 源 组 织 也 提供 了 脚本 工具 。 例 如 ， 使 用 脚本 进行 网 络 

管理 的 Scotty 系统 就 是 由 德国 布 伦 斯 威 元 技术 大 学 和 新 西 兰 特 温 特大 学 开发 的 。 








未来 的 发 展 趋势 
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第 14 章 网 络 自动 化 : 问题 与 目标 


14.1 简介 


本 书 的 第 一 部 分 向 读者 介绍 了 网 络 管理 的 问题 和 背景 ， 回 顾 了 FCAPS 模型 ， 并 且 讨 论 
FCAPS 模型 的 各 个 方面 。 本 书 的 第 二 i cae, £euemae 
术 。 管 理 员 既 可 以 使 用 脚本 技术 设计 单机 管理 系统 ， 又 可 以 扩展 现 有 的 产品 。 

本 书 的 第 三 部 分 将 重点 介绍 网 络 管理 的 未 来 。 这 一 部 分 不 再 介绍 现 有 解决 方案 ,而 是 研究 
网 络 管理 自动 化 所 面临 的 巨大 挑战 。 本 章 从 一 开始 就 围绕 网 络 管理 是 否 可 以 实现 自动 化 以 及 在 
什么 样 的 条 件 下 自动 化 是 可 行 的 等 问题 展开 讨论 。 同 时 ， 本 章 还 将 回顾 自动 网 络 管理 系统 所 应 
具备 的 特性 。 

后 面 的 几 章 将 研究 可 用 于 网 络 管理 和 网 络 状态 表示 的 软件 架构 。 这 些 章 将 会 讨论 由 网 络 管 
理 系 统 维护 的 网 络 内 部 描述 与 底层 网 络 元 素 之 间 是 如 何 转 换 的 。 除 此 之 外 ， 本 书 将 专门 用 一 音 
的 篇 幅 讨论 在 设计 一 个 实际 的 系统 时 必须 考虑 的 工程 折衷 方案 。 

本 书 最 后 一 章 通 过 提出 一 系列 开放 性 问题 总 结 了 关于 网 络 管理 自动 化 的 讨论 。 如 我 们 将 看 
到 ， 网 络 管理 中 有 许多 基本 问题 仍然 没有 得 到 解决 ， 许 多 研究 仍然 要 坚持 下 去 。 


14.2 网 络 自动 化 


围绕 着 网 络 自 动 化 (network automation) 这 一 主题 ， 人 们 提出 了 许多 问题 。 网 络 能 够 实现 
彻底 的 自动 化 吗 ? 也 就 是 说 ， 目 前 能 否 设计 出 一 一 套 软 件 或 硬件 系统 来 代替 人 类 智能 完成 创造 和 
运行 网 络 的 工作 ? 如 果 不 能 ， 是 这 一 问题 本 来 就 十 分 复杂 < 以 至 于 根本 就 不 存在 这 种 自动 化 的 解 
决 方案 ,还 是 目前 我 们 尚 不 能 提出 一 一 个 自动 化 的 解决 方案 ? 自 数 据 网 络 出 现 之 日 起 ， 这 些 问题 就 
成 为 了 人 们 争论 的 焦点 。 

正如 我 们 之 前 所 看 到 的 ， 人 们 已 经 创造 出 用 于 完成 重复 、 低 水 平 任务 的 自动 化 工具 。 因 此 ， 
更 准确 地 说 ， 我 们 需要 讨论 哪些 网 络 功能 是 可 以 实现 自动 化 的 ， 而 哪些 是 不 行 的 。 一 种 解决 这 些 
自动 化 相关 问题 的 方法 就 是 将 问题 划分 为 若干 子 问题 。 例 如 ， 如 果 只 只 单独 地 考虑 网 络 管理 的 两 
个 主要 方面 ， 就 会 使 问题 变 得 更 加 容易 。 这 两 个 方面 是 ; 

© 初始 规划 与 部 署 

e 日 常 的 运行 与 维护 

1) 初始 规划 与 部 署 : 规划 一 个 网 络 包含 评估 可 能 的 使 用 需求 、 评 估 流 量 、 设计 拓扑 结构 ， 
以 及 选择 实现 技术 等 。 通常 ， 规 划 过 程 的 输入 来 源 于 主观 腑 测 ， 并 且 最 初 的 设计 选择 也 不 需要 详 
细 的 知识 。 因 此 ， 一些 工 程 师 认为 初始 规划 的 自动 化 是 难以 实现 的 。 
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另 一 些 工程 师 却 持 相反 的 观点 。 他 们 指出 ， 在 大 多 数 情况 下 ， 网 络 的 初始 设计 常常 拷贝 现 有 
的 网 络 一 一 一 名 设计 者 在 熟知 若干 组 织 网 络 的 情况 下 ， 将 会 选择 一 个 已 经 存在 的 网 络 作为 新 网 
络 的 基础 。 一 个 自动 化 的 设计 系统 也 会 采取 同样 的 方法 。 通 常会 从 一 个 普通 网 络 的 规划 集合 开 
始 ， 选 择 出 最 适合 给 定 环境 的 规划 方案 。 

2) 日 常 运行 与 维护 : 即使 初始 规划 可 以 实现 自动 化 ， 但 管理 一 个 正在 运行 的 网 络 仍然 是 一 
个 复杂 的 问题 。 有 趣 的 是 ,日常 管 理 中 的 一 些 复杂 问题 来 源 于 和 规划 阶段 相反 的 情况 : 不 是 因为 
拥有 的 数据 太 少 ， 而 是 因为 大 量 的 数据 增加 了 日 常 管理 的 难度 。 我 们 可 以 方便 地 获得 详细 的 信 
息 ， 比 如 流 经 某 一 条 链 路 的 数据 包 数 量 ， 或 者 经 过 一 台 交 换 机 的 每 一 个 数据 流 的 信息 。 当 尝试 了 
解 一 个 网 络 时 ， 大 量 翔 实 的 数据 会 像 洪 水 一 样 扑面 而 来 ， 难 以 观察 重要 的 事件 和 趋势 。 

网 络 自动 化 的 支持 者 声称 计算 机 软件 是 过 滤 大 量 数据 的 完美 途径 。 与 人 工 相 比 ， 计 算 机 程 
序 可 以 提取 关键 选项 并 且 更 好 地 监控 网 络 趋势 。 而 批评 者 则 认为 ,在 真正 认 清 基本 问题 之 前 ,无 
法 创造 出 处 理 网 络 日 常 运行 问题 的 自动 化 软件 一 一 到 目前 为 止 , 还 没有 人 找到 过 滤 管 理 数据 和 
从 大 量 详 细 信 息 中 提取 重要 项 目的 算法 或 方法 。 

我 们 可 以 概括 如 下 : 


虽然 自动 化 是 一 个 值得 称赞 的 目标 ， 但 是 有 多 少 网 络 管理 任务 能 够 实现 自动 化 呢 ? 一 





种 方法 是 将 问题 划分 为 规划 与 部 署 、 日 常 运行 与 维护 这 两 个 子 问题 进行 讨论 。 


14.3 根据 网 络 类 型 划分 问题 


解决 网 络 管理 自动 化 的 另 一 种 方法 是 根据 网 络 类 型 将 问题 划分 为 若干 子 问题 。 例 如 ， 如 果 
将 范围 限制 在 某 一 类 网 络 ， 自 动 化 问题 将 会 变 得 容易 处 理 ， 比 如 : 

。 边缘 网 络 

_e 核心 网 络 

。 企业 网 络 

。 提 供 商 网 络 

1) 边缘 网 络 与 核心 网 络 : 正如 我 们 所 看 到 的 ， 核 心 网 络 与 边缘 网 络 是 截然 不 同 的 。 核 心 网 
络 关注 的 是 高 速 数据 包 的 转发 以 及 域 间 问题 。 核 心 网 络 倾 向 于 采用 流量 工程 的 方法 ， 并 且 以 聚 
类 流量 的 测量 为 基础 进行 统计 。 边 缘 网 络 倾向 于 采用 传统 路 由 ， 并 且 以 单个 数据 流 而 不 是 一 类 
数据 流 为 基础 进行 统计 。 进 一 步 说 ， 一 个 网 络 的 边缘 更 倾向 于 过 滤 流 量 和 处 理 诸如 地 址 分 配 等 
任务 。 因 此 ， 将 网 络 划分 为 边缘 与 核心 两 类 ， 并 且 通 过 独立 地 完成 管理 任务 ， 可 以 降低 网 络 管理 
自动 化 的 复杂 程度 。 

2) 企业 网 络 与 提供 商 网 络 ; 另 一 种 可 以 降低 管理 任务 复杂 度 的 方法 是 根据 企业 网 络 与 提供 
商 网 络 对 管理 任务 的 不 同 需 求 对 网 络 管理 自动 化 进行 分 类 。 一 个 企业 必须 同时 处 理 从 本 地 到 In- 
ternet 以 及 从 Internet 到 本 地 的 流量 。 提 供 商 必须 处 理 用 户 之 间 的 流量 。 因 此 ， 将 范围 限定 在 某 
种 类 型 的 网 络 上 可 以 降低 复杂 程度 ， 使 网 络 自动 化 更 加 切实 可 行 。 

我 们 可 以 概括 如 下 : 


另 一 种 降低 网 络 管理 自动 化 复杂 度 的 方法 是 根据 网 络 的 类 型 将 问题 划分 为 若干 子 问 


题 。 潜 在 的 类 型 包括 边缘 网 络 、 核 心 网 络 、 企 业 网 络 以 及 供应 商 网 络 。 
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14.4 HABDKTAWRA 


虽然 已 经 实现 了 一 些 自动 化 ， 但 是 目前 的 工具 和 技术 存在 着 严重 的 人 缺陷。 大体 上 说 ， 现 有 的 
网 络 自动 化 只 有 下 面 几 个 特 操 : 

© 逐次 的 解决 方案 

e 关注 单个 网 络 元 素 

e 手动 界面 上 的 目 动 化 

1) 逐次 的 解决 方案 : 现 有 的 自动 化 工具 通常 只 解决 网 络 管理 问题 的 一 小 部 分 ， 而 不 考虑 其 
他 问题 。 因 此 ， 自 动 化 成 为 了 拼凑 之 物 。 在 某 些 情况 下 ， 工 具 会 发 生 交 奢 ， 两 个 或 多 个 工具 在 处 
理 相关 问题 或 控制 给 定 元 素 的 时 候 会 出 现 干 扰 。 在 其 他 情况 了 下， 问题 仍然 没有 得 到 解决 。 因 为 自 
动 化 工具 不 能 够 处 理 所 有 的 细节 与 网 络 元 素 ， 所 以 网 络 管理 的 一 些 方 面 需要 依赖 手工 干预 才能 
解决 。 

2) 关注 单个 网 络 元 素 : 目前 的 目 动 化 管理 工具 不 是 将 网 络 作 为 一 个 统一 的 整体 进行 处 理 ， 
而 是 一 次 只 与 一 个 网 络 元 素 进 行 交 互 。 在 整个 网 络 内 传播 修改 信息 需要 管理 系统 一 个 接 一 个 地 
重新 配置 网 络 元 素 。 在 重新 配置 期 间 ， 虽 然 只 有 少量 元 素 被 修改 ， 但 网 络 仍然 保持 着 不 一 致 的 状 
态 。 更 重要 的 是 ， 因 为 要 求 管理 员 为 给 定 的 管理 工具 指定 需要 处 理 的 元 素 集 合 ， 所 以 在 新 元 素 加 
和信 网络 或 旧 元 素 离开 网 络 的 时 候 ， 手 动 配 置 是 必须 的 一 一 对 于 每 一 个 目 动 化 工具 来 说 ， 管 理 员 
必须 经 常 更 新 该 工具 所 能 处 理 的 元 素 集合 。 

3) 手动 界面 上 的 自动 化 : 许多 网 络 元 素 的 管理 界面 都 是 为 人 工交 互 设计 的 。 因 此 ， 当 前 的 
自动 化 系统 是 网 络 管理 出 现 之 后 产生 的 想法 一 一 自动 化 系统 只 是 对 现 有 的 界面 进行 花样 翻新 后 











继续 使 用 罢了 (例如 ，expect 脚本 可 以 解析 人 类 使 用 的 消息 )。 因 此 ， 管 理工 具 通 常 是 笨拙 的 。 
进一步 说 ， 因 为 工具 只 会 根据 语法 处 理 文本 ,而 并 不 理解 文本 的 内 容 和 含义 ， 所 以 当 供 应 商 引入 
新 消息 或 者 修改 当前 消息 的 措辞 和 格式 时 ， 就 必须 修改 工具 。 

这 一 点 可 概括 如 下 : 





当前 的 网 络 自动 化 技术 关注 单独 的 网 络 元 素 ， 并 且 只 在 现 有 的 界面 上 提供 自动 化 。 现 
有 工具 只 是 将 若干 方案 进行 了 拼 凌 ， 并 且 还 存在 着 工具 交 爱 的 现象 以 及 尚未 解决 的 
问题 。 













14.5 逐步 自动 化 与 “ 自 板 ” 


围绕 着 自动 化 的 一 个 主要 问题 涉及 整体 方法 : 对 现 有 网 络 实现 自动 化 管理 是 可 能 的 吗 ? 还 
是 需要 对 网 络 重新 进行 设计 呢 ? 文 持 可 以 管理 现 有 网 络 的 人 认为 Internet 已 经 建立 起 来 。 它 不 易 
被 更 改 以 至 于 任何 重新 设计 的 想法 都 是 无 望 的 。 他 们 已 经 观察 了 十 年 ， 供 应 商 曾 经 劝说 用 户 条 
用 了 Pv6， 但 是 以 失败 而 告终 。 为 了 避免 陷 人 类 似 的 窘境 ， 他 们 认为 新 的 管理 技术 必须 面 对 网 络 
已 经 存在 的 现实 ， 然 后 逐步 地 进行 改进 。 

支持 从 “日 板 ” 开 始 的 人 认为 逐步 的 改进 从 根本 上 说 是 有 和 尔 陷 的 一 一 从 目前 的 网 络 拉 术 着 
手 会 限制 管理 系统 的 范围 和 功能 。 他 们 指出 ,许多 依附 于 原始 Internet 的 假设 和 原则 源 于 25 年 前 
数据 包 网 络 尚未 普及 和 发 展 之 时 。 他 们 声称 为 了 适应 近年 来 的 巨大 增长 ， 原 始 技术 已 经 经 过 了 
多 次 修改 和 扩展 ， 使 得 系统 变 得 越 来 越 复 森 。 因 此 ， 在 这 样 的 系统 上 实现 管理 自动 化 并 不 是 一 件 
容易 的 事情 。 例 如 ， 他 们 指出 网 络 的 防火 墙 规 则 必须 被 管理 起 来 。 例 如 ， 他 们 指出 这 样 一 种 情 
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况 : 一 个 网 络 配备 有 防火 墙 ， 它 允许 来 自 于 外 部 的 连接 通过 虚拟 专用 网 (VPN) 进入 ， 然 后 沿 
着 多 协议 标记 交换 (MPLS) 隧道 穿越 网 络 地 址 转换 (NAT) 设备 发 送 访问 数据 流 。 其 中 网 络 地 
址 转换 设备 可 以 将 网 络 核心 与 边缘 分 离开 来 。 这 个 例子 包含 了 如 此 之 多 的 技术 ， 因 此 没有 一 个 
管理 系统 希望 提供 这 样 的 控制 。 

重新 设计 所 有 的 网 络 技术 和 协议 是 不 切实 际 的 ， 网 络 管理 自动 化 的 根本 问题 仍然 隐 含 在 下 
面 的 争论 中 ， 

© 现 有 的 网 络 协议 与 架构 是 如 何 限制 我 们 构造 自动 化 系统 的 能 力 的 ? 

© 一 个 经 过 重新 设计 、 全 新 的 Internet 又 能 够 增加 多 少 管理 功能 呢 ? 

看 待 上 述 问 题 的 男 一 种 方式 则 关注 现 有 网 络 基础 设施 的 某 些 方面 。 由 于 管理 复杂 性 能 够 得 
到 确定 ， 因 此 分 析 某 一 个 选择 的 管理 结果 是 值得 的 。 也 就 是 说 ， 不 需要 对 现 有 的 网 络 重新 进行 设 
计 ， 只 需要 对 现 有 的 技术 、 协 议 或 构架 组 件 进行 排除 、 修 改 以 及 替换 ， 就 可 以 提高 系统 的 管理 
性 能 。 

这 一 点 可 概括 如 下 : 


一 个 基本 问题 集中 在 现 有 技术 所 带 来 的 限制 上 : 如 果 重 新 设计 一 部 分 或 所 有 的 网 络 技 





术 ， 那 么 能 够 充分 实现 自动 化 吗 ? 





当然 ， 实 践 证 明 ， 管 理 的 复杂 性 来 源 于 多 种 技术 的 结合 ， 而 不 是 源 于 单独 的 一 种 技术 。 在 上 
面 引用 的 例子 中 ， 复 杂 性 来 源 于 防火 墙 、VPN、MPLS 以 及 NAT 技术 的 结合 。 因 此 考虑 技术 结 
合 所 带 来 的 管理 限制 是 十 分 重要 的 。 

ANKE, 虽然 技 术 的 结合 带 来 了 潜在 的 复杂 性 ,但 更 实际 的 复杂 性 来 源 于 交互 。 例 如 ， 我 
们 可 以 考虑 防火 墙 与 VPN 之 间 的 交互 。 假 如 一 个 站 点 将 其 网 络 隔离 为 内 部 和 外 部 两 个 域 ， 并 在 
这 两 个 域 之 间 设 置 了 防火 墙 。 再 假设 该 站 点 使 用 了 VPN 技术 使 雇员 能 够 在 家 访问 内 部 网 络 。 防 
火 墙 与 VPN 技术 之 间 的 交互 仅仅 发 生 在 访问 VPN 的 数据 包 通 过 防火 墙 的 时 候 。 

所 有 受到 交互 影响 的 技术 必须 在 一 起 协同 工作 ， 不 然 会 出 现 问题 。 在 这 样 的 情况 下 ， 管 理 显 
得 尤为 复杂 ， 因 为 任何 一 项 技术 的 改变 都 会 影响 交互 过 程 。 例 如 ， 作 者 就 经 历 过 这 样 的 情况 : Be 
变 防火 墙 策略 会 导致 VPN 出 现 奇 怪 的 行为 。 虽 然 在 这 种 情况 下 建立 一 个 VPN 连接 是 可 能 的 ， 但 
是 防火 墙 会 拦截 所 有 后 续 的 数据 包 。 对 于 用 户 来 说 ， 这 种 现象 十 分 奇特 的 一 一 VPN 软件 告知 用 
户 已 经 建立 了 连接 ， 但 是 应 用 程序 并 不 能 正常 工作 。 

一 种 提高 可 管理 性 的 方法 就 是 减少 甚至 消除 交互 过 程 。 因 此 ， 如 果 一 个 站 点 需要 同时 使 用 
VPN 软件 和 防火 墙 ， 那 么 它 可 以 通过 保证 两 者 之 间 不 进行 交互 来 提高 系统 的 可 管理 性 。 例 如 ， 
为 了 消除 直接 交互 ,一 个 申请 进入 VPN 的 连接 会 在 防火 墙 外 终止 ， 数 据 流 可 以 通过 路 由 绕 开 防 
火 墙 到 达 内 部 区 域 。 作 为 选择 ， 可 以 对 进入 的 数据 流 进 行 划 分 ，VPN 数据 流 能 够 通过 一 个 特殊 
的 防火 墙 ， 而 其 他 数据 流 必 须 通过 采用 站 点 一 般 策 略 的 防火 墙 。 

这 一 点 可 概括 如 下 : 


因为 技术 之 间 的 交互 使 得 管理 现 有 网 络 的 工作 更 加 复杂 ， 限 制 或 消除 交互 能 够 提高 自 
动 化 管理 任务 的 能 力 。 


14.6 接口 范 型 与 效率 
当前 网 络 自 动 化 的 一 个 关键 问题 集中 于 网 络 元 素 提供 给 管理 员 的 接口 。 管 理 接口 在 决定 自 
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动 化 管理 系统 的 功能 时 扮演 着 非常 重要 的 角色 。 因 此 ， 接 口 问 题 一 直 是 网 络 自动 化 讨论 中 的 焦 
点 之 一 。 

为 了 理解 这 个 问题 ， 我 们 考虑 一 种 极端 情况 : 一 个 网 络 应 用 (appliance) Eim FAH 
供 服 务 ， 而 不 是 供 管 理 员 使 用 。 通 常 ， 应 用 的 管理 接口 被 限制 在 少数 的 配置 参数 上 ， 并 且 不 允 
许 用 户 检查 或 更 改 数值 ， 比 如 路 由 表 中 的 记录 。 

正如 例子 中 所 说 明 的 ， 网 络 元 素 的 接口 仅仅 限制 能 够 实现 自动 化 的 任务 集合 。 更 重要 的 是 ， 
我 们 将 会 看 到 接口 对 自动 化 系统 的 效率 有 着 重要 的 影响 。 因 此 ， 即 使 自动 化 是 可 能 的 ， 管 理 接口 
也 会 导致 目 动 化 系统 不 可 行 。 

我 们 概括 如 下 : 





在 考虑 现 有 网 络 技术 的 自动 化 时 ， 网 络 元 素 的 输出 接口 是 至 关 重 要 的 。 因 为 接口 决定 





了 可 以 实现 自动 化 的 管理 任务 的 集合 以 及 这 些 任务 的 可 行 性 。 


对 于 自动 化 问题 来 说 ， 管 理 接口 的 重要 性 意味 着 ， 理 解 接 口 功能 与 整个 系统 的 功能 之 间 的 
关系 是 十 分 有 益 的 。 这 个 问题 包含 了 理论 与 实践 两 个 方面 。 例 如 ， 理论 研 究 者 可 能 会 在 接口 所 提 
供 的 功能 集合 与 可 能 执行 的 管理 任务 之 间 建 立 数学 关系 。 系 统 设计 者 可 以 分 析 在 一 个 给 定 管理 
任务 中 多 个 接口 带 来 的 计算 开销 。 有 关 问 题 还 包括 : 

。 是 否 能 够 描述 一 个 给 定 的 接口 所 能 支持 的 管理 任务 集合 ? 

e 是 否 能 够 说 明 在 给 定 的 接口 上 执行 管理 操作 所 消耗 的 计算 代价 ? 

关于 网 络 元 素 接 口 对 管理 功能 影 啊 的 问题 能 够 进行 转换 。 我 们 不 考虑 现 有 设计 的 结果 ， 而 
是 考虑 修改 接口 后 所 带 来 的 好 处 : 

se 为 了 提高 效率 ， 是 否 可 以 对 网 络 元 素 的 管理 接口 进行 重新 设计 ? 

o 如 果 一 个 元 素 的 接口 能 够 重新 设计 ， 需 要 包含 什么 样 的 功能 才能 保证 自动 化 软件 执行 任 

意 的 管理 操作 ? 


14.7 ”自动 管理 系统 的 上 且 标 


在 回答 自动 化 是 否 可 以 应 用 于 当前 网 络 以 及 重新 设计 元 素 接口 是 否 可 以 提高 管理 系统 的 功 
能 和 效率 等 问题 之 前 ， 我 们 有 必要 弄 清楚 需要 解决 的 问题 是 什么 。 本 节 将 讨论 网 络 自动 化 的 上 
标 ， 而 后 面 一 节 则 提供 了 一 个 期 望 的 特性 列表 的 例子 。 

寻找 一 个 自动 化 系统 始 于 两 个 主要 问题 ， 一 个 关注 管理 系统 的 范围 ， 而 另 一 个 关注 人 工 
接口 ; 

。 在 理想 的 情况 下 ， 自 动 网 络 管理 系统 应 该 提供 什么 样 的 功能 呢 ? 

o 这 样 的 系统 是 怎样 与 管理 员 进行 交互 的 呢 ? | 

功能 性 的 问题 可 能 是 琐碎 的 。 当 被 要 求 想象 一 个 理想 的 自动 化 系统 时 ， 许 多 管理 员 都 会 想 
象 一 种 机 制 可 以 处 理 FCAPS 模型 的 各 个 方面 。 他 们 想象 出 一 个 系统 能 够 自动 地 配置 网 络 元 素 和 
服务 ， 检 测 并 维修 故障 ， 提 供 记录 管理 员 选 择 的 表格 ， 自 动 地 优化 性 能 ， 保 证 整个 网 络 与 所 有 服 
务 的 安全 性 。 

第 二 个 问题 将 理想 的 系统 与 现实 紧密 地 联系 在 一 起 的 。 虽 然 管理 员 要 求 系统 自动 地 处 理 所 
有 问题 ， 但 是 系统 不 可 能 离开 输入 ;人们 做 出 的 许多 管理 选择 都 是 为 了 满足 某 个 组 织 的 需求 或 
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者 共 个 商业 目的 ， 而 不 是 为 了 适应 底层 的 某 项 技术 。 除 此 之 外 ， 还 存在 着 物理 上 和 商业 上 的 限 
制 ， 它 们 都 限制 着 可 能 的 选择 。 因 此 ， 即 使 一 个 系统 被 设计 为 可 以 自动 地 处 理 管 理 任 务 ， 管 理 员 
也 必须 能 够 指出 那些 非 技 术 的 限制 。 概 括 如 下 ， 














虽然 想象 出 一 个 在 不 受 任何 干预 的 情况 下 能 够 处 理 FCAPS 模型 中 各 个 方面 的 自动 化 管 
理 系统 是 可 能 的 ， 但 是 现实 的 系统 必须 允许 管理 员 指 定 目标 和 约束 。 





管理 员 与 自动 化 网 络 系统 交互 的 第 二 个 方面 在 于 ， 管 理 员 应 该 如 何 处 理 自动 化 系统 不 能 够 
处 理 并 且 难 以 做 出 满意 选择 的 情况 。 下 面 将 介绍 手动 更 改 〈manual override) 的 概念 ， 并 提出 几 
个 问题 

。 日 动 化 系统 允许 管理 员 在 多 大 程度 上 做 出 修改 决定 和 选择 呢 ? 

。 日 动 化 系统 应 该 为 管理 员 提 供 怎 样 的 接口 来 手动 修改 决定 ? 

。 如 采 管 理 员 手动 修改 了 已 经 做 出 的 选择 ， 自 动 化 系统 怎样 处 理 和 调整 这 些 变 化 呢 ? 

第 二 个 问题 关注 的 是 管理 员 怎 样 指定 一 个 手动 更 改 。 目 前 有 两 种 主要 的 方法 。 在 集成 化 方 
法 (integrated approach) 中 ， 管 理 员 与 自动 化 系统 进行 交互 。 管 理 员 指定 系统 需要 做 出 的 修改 ， 
然后 系统 按照 管理 员 的 授意 做 出 改变 。 在 层次 化 方法 (tiered approach) 中 ， 管 理 员 直接 与 底层 
网 络 元 素 或 设备 进行 交互 ， 做 出 修改 。 

1) 集成 化 方法 : 该 方法 要 求 手动 更 改作 为 自动 化 系统 功能 不 可 分 割 的 一 部 分 。 将 修改 的 功 
能 融入 到 目 动 化 系统 中 有 利于 系统 帮助 管理 员 检 查 输入 的 修改 信息 并 在 键 人 错误 的 数值 时 报警 。 
但 是 集成 化 方法 有 两 个 缺点 。 首 先 ， 如 果 系 统 设 计 者 没有 为 某 一 个 值 提供 修改 方法 ， 那 么 管理 员 
就 没有 任何 资源 可 以 利用 。 其 次 ， 如 果 由 于 自动 化 系统 的 某 一 部 分 出 现 故 障 而 需要 进行 手动 更 
BC, 那么 故障 很 可 能 会 妨碍 管理 员 做 出 正确 的 改动 。 

2) 层次 化 方法 : 该 方法 在 需要 手动 干预 的 情况 下 ， 赋予 管理 员 直 接 的 控制 权力 ， 管 理 员 不 
需要 用 目 动 化 系统 作为 中 间 媒 介 就 可 以 直接 修改 网 络 元 素 和 网 络 设备 。 但 是 ， 层 次 化 方法 有 两 
个 跌 操 。 前 先 ， 人 允许 管理 员 键 入 任意 的 数值 意味 着 管理 员 可 能 会 因为 政 忽 大 意 指定 了 与 当前 自 
动 化 系统 的 其 他 选择 相 冲突 的 数值 。 其 次 ， 在 手动 更 改 完毕 之 后 ， 我 们 仍 需 要 一 些 附加 机 制 来 防 
止 管理 系统 自动 地 恢复 原先 的 数值 〈 例 如 ， 管 理 员 更 改 的 参数 应 当 受 到 保护 ， 这 样 后 续 的 更 新 
只 有 在 管理 员 批准 的 情况 下 才能 实施 ) 。 

我 们 将 允许 管理 员 进 行 手 动 更 改 的 接口 的 问题 归纳 如 下 : 


自动 管理 系统 是 否 应 该 包含 手动 修改 工具 ? 或 者 说 ， 自 动 化 系统 与 网 络 元 素 之 间 是 否 





应 该 设计 允许 管理 员 直 接 检查 和 修改 配置 参数 的 接口 ? 





第 三 个 问题 是 自动 化 系统 怎样 处 理 管 理 员 的 手动 修改 。 这 是 一 个 十 分 有 趣 的 问题 ， 因 为 它 
为 我 们 提出 了 多 种 可 能 。 如 果 日 动 化 系统 与 底层 的 设备 是 紧密 结合 在 一 起 的 ， 那么 分 析 管 理 员 
提出 的 每 一 个 更 改 请 求 是 可 能 的 。 系 统 能 够 检查 更 改 的 有 效 性 ， 计 算 它 潜在 的 影响 ， 并 且 告 知 管 
理 员 这 次 更 改 操 作 可 能 会 导致 的 结果 。 系 统 可 以 在 做 出 更 改 之 前 为 管理 员 提 交 一 份 报告 ， 给 管 
理 员 一 个 评审 更 改 操作 的 机 会 。 同 时 ， 系 统 也 可 以 在 更 改 完成 之 后 向 管理 员 提 交 报 告 ， 将 需要 监 
控 的 潜在 问题 与 情况 反映 给 管理 员 。 

一 些 工程 师 认 为 层次 化 的 结构 为 管理 员 提 供 了 一 个 后 门 ， 管理 员 能 够 通过 它 控制 某 个 网 络 
元 素 ， 这样 管 理 就 不 能 够 实现 彻底 的 自动 化 。 他 们 声称 自动 化 意味 着 管理 系统 与 底层 网 络 元 素 
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之 间 的 紧密 结合 。 另 一 些 工 程 师 认 为 ， 即 使 实现 了 管理 自动 化 ， 为 了 应 对 自动 化 失效 的 情况 ， 直 
接 做 出 手动 修改 的 功能 仍然 是 必要 的 。 无 论 如 何 ， 如 果 使 用 层次 化 体系 结构 ， 目 动 管理 系统 必须 
能 够 获得 手动 更 改 的 信息 。 因 此 ， 我 们 既 可 以 要 求 网 络 元 素 向 系统 发 送 更 改 的 消息 ， 又 可 以 让 系 
统 自己 检测 手动 更 改 的 情况 〈 例 如 ， 系 统 反复 地 向 底层 元 素 发 送 询问 消息 以 判断 参数 是 否 被 更 
改 )。 

一 旦 检测 到 了 更 改 ， 管 理 系统 必须 为 新 的 数值 赋予 含义 。 实 质 上 ， 一 个 松 艳 合 的 体系 结构 要 
求 管理 系统 减少 细节 的 含义 : 系统 不 是 根据 管理 员 提 出 的 要 求 计算 出 网 络 元 素 需 要 做 出 的 更 改 ， 
而 是 根据 一 系列 的 更 改 追 漳 修 改 产 生 的 原因 。 如 果 没 有 很 好 地 选择 与 网 络 元 素 的 接口 ， 上 述 的 
有 反 演 计算 是 非常 困难 甚至 是 不 可 能 的 。 我 们 可 以 总 结 如 下 : 











自动 化 系统 能 够 通过 通知 管理 员 潜 在 的 结果 反作用 于 手工 更 改 。 一 个 松散 磷 合 的 层次 
化 体系 结构 会 使 这 种 反作用 变 得 更 加 困难 ， 因 为 管理 系统 必须 计算 出 新 值 的 含义 。 











14.8 自动 管理 系统 急需 解决 的 问题 


假设 我 们 忽略 自动 网 络 管理 系统 是 否 切 实 可 行 这 一 问题 ， 然 后 想象 哪些 功能 是 系统 必须 包 
含 的 。 自 动 管理 系统 需要 拥有 怎样 的 特性 呢 ? 一 个 理想 的 系统 应 该 具有 下 面 的 特性 ; 

。 全 面 

。 通用 

e 可 扩展 

。 多 功能 

e 可 适应 

。 智能 化 

。 标准 化 

1) 全 面 : 与 当前 的 工具 和 技术 不 同 ， 一 个 理想 的 管理 系统 能 够 管理 FCAPS 模型 的 各 个 方 
面 。 更 重要 的 是 ， 系 统 不 会 以 多 个 独立 的 子 系统 的 集合 的 形式 出 现 。 相 反 ， 系 统 能 够 配置 网 络 ， 
检测 故障 ， 以 及 以 一 致 的 、 无 锋 的 方式 监控 性 能 。 

2) 通用 ; 一 个 理想 的 自动 化 管理 系统 能 够 管理 各 种 类 型 的 网 络 。 因 此 ， 除 了 管理 一 个 企业 
网 、 服 务 提 供 商 网 络 、Internet 核心 网 络 ， 以 及 边缘 网 络 之 外 ， 一 个 理想 的 系统 可 以 文 持 各 种 网 
络 拓扑 结构 。 | 

3) 可 扩展 : 理想 的 系统 能 够 适应 各 种 规模 的 网 络 ， 从 规模 最 小 的 网 络 到 规模 最 大 的 网 络 。 
特别 地 ， 扩 展 性 意味 着 自动 化 系统 必须 适应 跨越 多 个 站 点 的 网 络 。 

4) 多 功能 ; 理想 的 系统 不 应 该 被 限制 在 只 管理 网 络 资源 的 一 个 子 集中 。 相 反 ， 它 能 够 处 理 
任何 网 络 技术 和 网 络 元 素 ， 并 且 在 不 考虑 任何 限制 的 情况 下 以 统一 的 方式 处 理 高 层次 的 服务 和 
低层 次 的 设备 。 

5) 可 适应 : 因为 网 络 是 不 断 变化 的 ， 理 想 的 自动 管理 系统 应 当 被 设计 成 能 够 适应 不 断 变化 
的 基础 设施 和 规定 。 为 了 适应 不 断 出 现 的 硬件 和 软件 技术 ， 系 统 必 须 是 可 扩展 的 。 此 外 ， 理 想 的 
系统 还 可 以 适应 因 商业 目标 和 财务 约束 而 产生 的 改动 。 

6) 智能 化 : 虽然 已 经 实现 了 自动 地 配置 路 由 ,但 是 处 理 管理 中 其 他 方面 的 技术 仍然 仅仅 用 
于 帮助 管理 员 做 出 决定 ， 它 们 在 很 大 程度 上 依赖 于 人 工 智能 。 一 个 理想 的 管理 系统 能 够 自动 地 
做 出 决定 ， 并 将 对 人 类 的 干涉 活动 的 需求 降 至 最 低 。 
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7) 标准 化 : 大 多 数 网 络 都 包含 了 由 多 个 不 同 供应 商 生产 的 硬件 和 软件 产品 。 为 了 适应 异 构 
性 ， 理 想 的 管理 系统 会 提出 一 个 独立 于 供应 商 的 标准 。 该 标准 覆盖 了 所 有 的 供应 商 并 且 人 允许 他 
们 的 产品 平滑 地 结合 起 来 。 

概括 如 下 : 








如 果 我 们 不 考虑 可 行 性 ， 只 是 想象 一 个 理想 的 网 络 管理 系统 ， 那 么 就 会 得 到 一 个 全 面 
的 、 通 用 的 、 可 扩展 的 、 多 功能 的 、 可 适应 的 、 智 能 化 的 ， 以 及 对 所 有 供应 商标 准 化 


的 系统 。 





下 面 几 六 将 通过 讨论 管理 系统 特殊 的 和 必要 的 特性 来 阐述 对 一 个 理想 的 网 络 管理 系统 的 
理解 。 


14.9 多 站 点 和 管理 员 


在 网 络 管理 中 ， 最 具 挑 战 性 的 问题 之 一 就 是 横 跨 多 个 站 点 的 大 型 网 络 。 例 如 ， 考 虑 一 个 跨国 
公司 的 网 络 ， 该 公司 在 三 个 洲 都 设 有 机 构 。 这 样 的 配置 就 给 网 络 管理 带 来 了 一 些 困难 。 虽 然 每 一 
个 站 点 都 有 负责 本 地 业务 的 管理 员 ， 但 是 所 有 的 管理 员 之 间 必 须 分 工 协作 。 第 二 ， 如 果 站 点 跨越 
多 个 时 区 ， 一 个 站 点 的 工作 时 间 很 难 与 另 一 个 站 点 的 工作 时 间 对 应 起 来 ， 这 样 当 出 现 问 题 时 ， 很 
难 找到 对 应 的 管理 员 。 第 三 ， 由 于 站 点 之 间 的 通信 通常 使 用 Internet， 延 迟 现 象 是 十 分 严重 的 。 

理想 的 管理 系统 能 够 以 统一 的 方式 处 理 多 站 点 的 问题 。 更 重要 的 是 ， 理 想 的 系统 能 够 了 解 
站 点 的 边界 以 及 相互 间 的 互 连 机 制 。 如 果 站 点 之 间 的 互 连 机 制 是 全 球 的 Internet， 并 且 每 一 个 站 
点 都 获得 了 由 本 地 ISP 分 配 的 地 址 前 缀 ， 那 么 自动 化 系统 就 能 够 正确 地 识别 一 个 组 织 网 络 的 站 
点 ， 并 且 采 用 合适 的 机 制 来 传输 流量 〈 例 如， 在 每 一 对 站 点 之 间架 设 VPN 隧道 ) 。 

这 一 点 可 概括 如 下 : 












一 个 理想 的 管理 系统 能 够 以 统一 的 、 分 工 协作 的 方式 处 理 多 站 点 的 问题 。 它 能 够 理解 
站 点 的 边界 ， 能 够 自动 地 提供 站 点 之 间 的 传输 机 制 ， 比 如 加 密 隧 道 。 








14.10 “管理 权限 范围 与 基于 角色 的 访问 控制 


正如 前 面 儿 市 所 介绍 的 ， 网 络 的 每 个 站 点 都 有 一 个 或 多 个 管理 员 。 每 个 管理 员 被 分 配 了 一 
定 的 管理 权限 范围 。 这 些 权 限 范 围 指 定 管理 员 能 够 使 用 的 功能 。 例 如 ， 特 定 管理 员 的 权限 范围 指 
定 该 管理 员 的 权限 是 仅 限于 一 个 站 点 还 是 可 以 跨越 组 织 的 多 个 站 点 。 作 为 选择 ， 权 限 范 围 能 够 
指定 设备 的 类 型 而 不 是 物理 地 址 ( 比如， 该 组 织 任何 站 点 的 DSL 调制 解 调 器 ) 。 

除了 指定 管理 员 能 够 控制 的 设备 子 集 合 外 ， 权 限 范 围 还 指定 了 管理 员 能 够 执行 的 功能 集合 。 
例如 ， 对 于 一 个 大 规模 的 网 络 来 说 ， 管 理 责 任 可 以 被 划分 为 路 由 管理 、 安 全 管理 和 故障 管理 。 每 
一 项 管理 任务 分 配给 一 个 管理 员 。 

为 了 控制 管理 员 的 权限 ， 理 想 的 管理 系统 会 采用 基于 角色 的 访问 控制 (Role- Based Access 
Control, RBAC) 方法 。 除 了 直接 明确 地 分 配 权限 之 外 ， 理 想 的 系统 还 包含 了 允许 管理 员 暂 时 将 
自己 的 特权 转交 给 其 他 管理 员 的 机 制 。 

这 点 可 概括 如 下 : 
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一 个 理想 的 基于 角色 的 访问 控制 的 环境 会 提供 一 个 较 高 层次 的 接口 。 我 们 可 以 方便 地 





利用 这 个 接口 定义 角色 和 特权 ， 而 不 需要 指定 低层 次 的 细节 。 


14. 11 关注 服务 


也 许 一 个 理想 的 网 络 管理 系统 最 重要 的 特性 是 关注 服务 而 不 是 硬件 。 也 就 是 说 ， 一 个 理想 
的 系统 不 是 向 管理 员 提 供 配置 单独 网 络 元 素 的 接口 ， 而 是 允许 管理 员 指 定 最 终 的 目标 ， 然 后 由 
系统 自动 地 配置 网 络 元 素 以 实现 这 个 目标 。 

为 了 实现 一 个 高 层次 的 接口 ， 理 想 的 管理 系统 会 关注 网 络 范围 的 服务 而 不 是 协议 与 网 络 元 
素 。 例 如 ， 一 个 理想 的 系统 允许 管理 员 请 求 部 署 跨越 整个 网 络 的 全 语音 服务 而 不 需要 管理 员 识 
别 出 每 一 个 能 够 提供 该 项 服务 的 网 络 元 素 。 类 似 地 ， 一 个 理想 的 系统 能 自动 地 处 理 服 务必 要 的 
细节 ， 比 如 在 单独 的 链 路 上 保留 带宽 以 及 配置 网 关 等 。 

我 们 概括 如 下 : 





管理 员 与 理想 的 网 络 管理 系统 之 间 的 接口 允许 管理 员 请 求 部 署 横 跨 整个 网 络 的 高 层次 


的 服务 ， 管 理 系统 会 自动 处 理 必 要 的 细节 。 











14.12 策略、 约束 与 商业 规则 


面 对 一 个 新 的 网 络 服务 的 请 求 ， 管 理 系统 是 怎样 做 出 是 否 满足 该 请 求 的 决定 呢 ?” 当 新 的 服 
务 与 现 有 的 服务 之 间 发 生 冲 突 时 会 发 生 什 么 (比如 ,没有 足够 的 资源 同时 满足 新 的 服务 和 现 有 
的 服务 )? 答案 在 于 对 策略 的 使 用 : 在 管理 系统 部 署 服 务 之 前 ， 管 理 员 必 须 定义 策略 并 且 将 它们 
按照 管理 系统 可 以 访问 的 格式 存储 起 来 。 图 14-1 给 出 了 一 个 使 用 策略 子 系统 的 网 络 管理 系统 在 
概念 上 的 组 织 结构 。 







管理 员 


一 策略 说 明 


策略 子 系统 
网 络 管理 系统 


请 求 与 响应 ~、 





一 个 理想 的 策略 子 系统 可 以 为 管理 员 提 供 描述 本 地 以 及 全 局 策略 的 机 会 管理 系统 会 
使 用 上 述 策略 来 指导 决定 。 一 个 全 局 策略 适用 于 整个 网 络 ， 而 本 地 策略 适用 于 网 络 的 一 个 
子 集 。 例 如 ， 管 理 员 可 能 会 为 一 个 站 点 建立 一 条 本 地 策略 ， 他 也 会 为 一 个 站 点 的 多 组 链 路 
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选择 本 地 策略 。 

为 了 让 自动 化 系统 检查 部 署 是 否 违背 了 策略 ， 必 须 用 一 种 精确 而 清楚 的 语言 来 表述 策略 。 
对 策略 的 精确 规定 有 一 个 十 分 重要 的 优点 : 策略 能 够 被 分 析 ， 并 且 管 理 员 可 以 收 到 关于 策略 冲 
突 的 通知 。 尤 其 是 在 尝试 部 署 服务 之 前 ， 策 略 子 系统 能 够 分 析 对 策略 的 描述 ， 并 且 癌 管理 员 报 告 
策略 内 部 的 不 一 致 性 。 

一 个 理想 的 策略 子 系统 是 动态 的 (dynamic) ， 这 样 它 才 能 够 允许 管理 员 随 时 更 改 策略 。 当 
然 ， 在 每 一 次 更 改 策略 时 必须 验证 这 些 改动 不 与 其 他 策略 发 生 冲 突 。 更 重要 的 是 ， 必 须 验 证 每 一 
次 修改 与 现 有 的 网 络 部 署 不 同 ， 这 样 才能 保证 网 络 与 新 策略 相符 合 。 

策略 约束 管理 《policy-constrained management) 用 于 描述 一 个 方案 。 在 这 个 方案 中 ， 管 理 系 
统 验证 管理 员 提 出 的 每 一 个 更 改 策略 的 请 求 。 请 求 只 有 在 通过 验证 后 才能 得 到 满足 。 采 用 策略 
约束 管理 保证 了 网 络 与 策略 的 一 致 性 。 我 们 可 概括 如 下 : 





一 个 理想 的 管理 系统 会 包含 一 个 动态 策略 子 系统 。 该 系统 允许 管理 员 指 定 或 更 改 策 


略 。 为 了 保证 网 络 按照 策略 运行 ， 系 统 会 使 用 策略 来 验证 随后 的 请 求 与 决定 。 





策略 子 系统 在 商业 活动 与 商业 网 络 之 间 形 成 了 一 条 清楚 的 链 路 。 我 们 使 用 商业 规则 
(business rule) 作为 对 商业 活动 、 目 标 以 及 约束 的 正式 表述 。 我 们 认为 ， 策 格子 系统 在 商 
业 规 则 应 用 于 网 络 时 对 其 进行 编码 。 当 为 一 个 网 络 创 建 策略 时 ， 管 理 员 将 商业 规则 转换 为 
精确 的 描述 。 在 一 个 理想 的 系统 中 ， 策 略语 言 会 使 从 商业 规则 到 网 络 策略 的 转换 更 加 直接 。 
概括 如 下 : 


一 个 理想 策略 子 系统 的 主要 目标 就 是 保证 网 络 按照 拥有 并 运行 着 该 网 络 的 组 织 的 商业 





规则 来 运行 。 


14. 13 ”多 个 事件 的 相互 关系 


一 个 理想 的 网 络 管理 系统 能 够 观察 网 络 ， 并 对 观察 结果 做 出 解释 ， 最 后 产生 易于 管理 员 理 
解 的 报告 。 事 件 的 知 能 解释 涉及 将 整个 网 络 的 事件 关联 起 来 。 例 如 ， 从 客户 端 软件 到 来 的 一 系列 
事件 表明 服务 器 已 经 停止 响应 。 如 果 相 似 的 事件 来 源 于 多 人 台 主 机 ， 那么 服务 髓 不 是 发 生 故障 就 
是 不 可 达 。 一 个 智能 的 系统 会 根据 相关 的 事件 输入 ， 间 时 参考 可 达 性 和 网 络 元 素 的 状态 ， 最 后 决 
定 问题 的 准确 原因 。 

这 一 点 可 概括 如 下 : 





在 解释 事件 数据 时 ， 理 想 的 管理 系统 会 将 整个 网 络 的 事件 关联 起 来 ， 然 后 得 出 一 个 智 
能 的 解释 。 





14.14 从 逻辑 事物 到 物理 位 置 的 映射 


一 个 理想 的 管理 系统 的 接口 能 够 将 信息 以 易于 人 们 理解 的 方式 表达 出 来 。 作 为 交互 过 程 的 
一 个 方面 ， 将 逻辑 事物 与 物理 位 置 关联 起 来 的 能 力 是 十 分 重要 的 。 例 如 ， 如 宁 一 个 硬件 设备 发 生 
故障 ， 那 么 理想 的 管理 系统 就 会 指出 该 设备 准确 的 物理 位 置 ， 其 中 包括 该 设备 所 处 的 大 楼 、 房 
间 ， 以 及 机 架 等 细节 。 
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将 每 一 个 逻辑 实体 与 它们 的 物理 位 置 关联 起 来 要 求 网 络 管理 系统 理解 物理 目录 和 物理 关系 。 
例如 ， 一 个 管理 系统 必须 理解 交换 机 上 的 硬件 接口 是 管理 员 可 以 访问 的 物理 实体 。 类 似 地 ， 管 理 
系统 必须 知道 交换 机 是 安放 在 哪 一 个 机 架 上 ， 机 架 又 是 放 在 哪 一 个 房间 里 。 理 想 的 管理 系统 可 
以 同时 理解 逻辑 和 物理 目录 (inventory)。 如 果 位 置 是 真实 存在 的 ， 系 统 允 许 管理 员 决 定 设备 的 
物理 位 置 。 

这 一 点 可 概括 如 下 : 


一 个 理想 的 管理 系统 可 以 理解 物理 关系 ,并且 通过 将 逻辑 实体 和 物理 位 置 关 联 起 来 帮 
助 管理 员 。 

















14.15 自治、 手动 更 改 以 及 策略 变更 


一 个 理想 的 网 络 管理 系统 该 怎样 处 则 手动 更 改 呢 ?” 理 想 的 系统 会 自动 地 处 理 问题 并 根据 管 
理 员 指 定 的 策略 优化 性 能 。 如 果 出 现 使 用 策略 约束 不 能 处 理 的 情况 ， 理 想 的 系统 允许 管理 员 更 
改 策略 。 特 别 地 ， 理 想 的 系统 会 通知 管理 员 解 决 办 法 已 经 超出 了 当前 的 策略 ， 并 且 人 允许 管理 员 更 
改 策略 。 

例如 ， 我 们 可 以 考虑 在 紧急 情况 下 配置 路 由 的 例子 ， 比 如 自然 灾害 会 引发 大 规模 的 能 
源 短缺 。 在 正常 的 条 件 下 ,一 条 特殊 的 链 路 会 留 给 来 自 指定 源 的 流量 (例如 ,来自 一 个 客 
户 )。 但 是 在 紧急 的 情况 下 ,保证 任何 流量 都 能 通过 路 由 流 过 链 路 是 非常 重要 的 。 理 想 的 管 
理 系统 不 是 允许 管理 员 清 楚 地 更 改 路 由 ， 而 是 提出 一 种 解决 方案 让 管理 员 决 定 是 否 暂 时 地 
更 改 策略 。 

对 管理 系统 进行 暂时 的 更 改 有 两 个 好 处 : 现任 性 和 一 致 性 。 责 任性 是 指 管理 员 经 过 授 
权 可 以 暂时 地 更 改 策 略 ， 同 时 这 些 改动 都 将 被 记录 下 来 。 因 此 决定 由 谁 来 批准 每 一 处 更 改 
是 可 能 的 。 一 致 性 是 指 管理 系统 保留 了 对 单个 网 络 元 素 的 控制 权 。 因 此 ， 系 统 可 以 不 断 地 
调整 更 改 ， 保 证 全 局 状态 的 一 致 性 与 正确 性 ， 从 而 达到 保护 网 络 的 目的 。 我 们 可 以 概括 
如 下 : 





一 个 理想 的 管理 系统 不 是 允许 管理 员 在 单独 的 网 络 元 素 上 做 出 手动 更 改 ， 而 是 通知 管 
理 员 那些 违背 策略 的 选项 ， 然 后 让 管理 员 永 久 地 或 暂时 地 更 改 策略 。 









14.16 ”总结 


在 研究 网 络 自动 化 时 ,我 们 提出 了 许多 问题 。 如 果 网 络 管理 不 能 实现 彻底 的 目 动 化 ， 
那么 这 些 问 题 又 该 怎样 分 解 成 为 更 简单 的 子 问 题 ? 可 能 的 办 法 包括 将 问题 分 为 部 署 与 运行 
两 个 子 问题 ， 或 者 根据 网 络 类 型 划分 问题 。 当 前 的 管理 工具 提供 了 关注 单个 网 络 元 条 而 不 
是 高 层次 服务 的 原子 性 的 解决 方案 。 能 否 将 多 种 工具 整 台 到 一 个 管理 系统 中 ?当前 的 网 络 
实现 自动 化 是 可 行 的 ， 还 是 需要 重新 设计 网 络 ? 管 理 自动 化 在 利用 当前 网 络 元 素 的 管理 接 
口 时 是 否 会 受到 限制 ? 

我 们 在 考虑 一 个 自动 管理 系统 时 ， 有 两 个 主要 的 问题 ， 系统 应 该 提供 哪些 功能 ”系统 应 该 为 
管理 员 提 供 怎样 的 接口 ? 一 个 集成 化 的 设计 为 管理 员 提 供 唯 一 的 高 层次 的 接口 ; 而 层次 化 的 设 
计 则 会 为 管理 员 提 供 配 置 单个 网 络 元 素 的 低层 次 的 访问 。 
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如 果 我 们 想象 一 个 理想 的 网 络 管理 系统 ， 那 么 该 系统 具有 全 面 的 、 通 用 的 、 可 扩展 的 、 多 功 
能 的 、 可 运 应 的 、 智 能 化 的 ， 以 及 对 所 有 供应 商标 准 化 等 特性 。 这 样 的 系统 将 可 以 处 理 网 络 管理 
各 个 方面 ， 以 及 各 种 类 型 和 规模 的 网 络 的 所 有 设备 。 特 别 地 ， 一 个 理想 的 管理 系统 能 够 跨越 多 个 
站 点 ， 并 且 提 供 基于 角色 的 访问 控制 ， 让 多 个 管理 员 能 够 有 效 地 协作 ， 而 不 会 相互 干扰 。 这 样 的 
系统 能 够 将 多 个 事件 关联 起 来 ， 并 且 能 够 报告 设备 的 物理 位 置 。 它 将 关注 网 络 范围 内 的 服务 而 
不 是 单个 网 络 元 素 的 功能 。 它 将 使 用 策略 子 系统 来 提供 约束 策略 管理 。 最 后 ， 一 个 理想 的 系统 能 
够 日 主 地 运行 : 系统 不 需要 管理 员 手 动 更 改 网 络 元 素 的 配置 ， 而 是 通知 管理 员 违 背 策略 的 项 目 ， 
然后 让 管理 员 更 改 当前 的 策略 。 


第 15 ee 网 络 管理 软件 的 体系 结构 


15.1 简介 


在 本 书 这 一 部 分 中 ; 我 们 将 探讨 网 络 管理 的 未 来 ， 并 且 强 调 系统 可 以 自主 地 处 理 管理 任务 ， 
把 对 人 工 干 预 的 需求 降 至 最 小 。 前 一 章 已 经 讨论 了 一 些 基 本 问题 ， 比 如 自动 化 是 否 可 行 以 及 自 
动 化 古 否 必须 划分 为 磊 干 更 小 的 子 问题 等 ,刻画 了 一 个 理想 的 管理 系统 ， 并 且说 明了 这 样 一 个 
系统 应 该 具有 的 特性 。 

本 章 通过 探讨 一 些 可 能 会 被 使 用 的 方法 、 体 系 结构 和 技术 来 进一步 展开 关于 未 来 自动 网 络 
管理 系统 的 讨论 。 本 章 将 会 讨论 自 底 向 上 与 自 顶 向 下 的 设计 范 型 ， 并 分 析 每 一 种 范 型 的 优点 。 然 
后 ， 讨 论 管 理 软件 系统 的 结构 ， 考 察 构 建 管理 系统 的 方法 ， 最 后 探讨 用 于 创建 和 优化 自动 化 管理 
系统 的 技术 。 

后 面 的 儿 章 将 着 重 介绍 数据 定义 在 系统 中 所 扮演 的 重要 角色 。 这 些 意 会 讨论 一 个 网 络 的 内 
部 表示 ， 与 内 部 定义 相关 的 语义 ,以 及 设计 过 程 中 的 权衡 问题 。 本 书 将 提出 若干 开放 性 的 问题 ， 
然后 进行 深入 的 讨论 。 


15.2 管理 系统 的 设计 范 型 


如 果 我 们 要 建立 一 个 新 的 管理 系统 ， 那 么 需要 从 下 列 两 种 基本 方式 中 做 出 选择 : 
eA iq 
° 日 底 向 上 | | 
1) 自 顶 向 下 的 范 型 : 自 顶 向 下 (top-down) 的 设计 范 型 是 指 设计 者 从 一 些 基 本 要 求 出 发 ， 
拟定 足以 解决 问题 的 详细 的 设计 抽象 ， 然 后 创建 一 个 能 够 实现 这 些 抽象 的 管理 系统 。 自 顶 向 下 
的 设计 不 要 求 对 整个 管理 系统 有 全 面 的 理解 一 一 综合 性 的 问题 可 以 被 划分 为 若干 子 问题 ， 然 后 
一 次 只 将 范 型 应 用 到 一 个 子 问题 中 。 因为 是 从 头 开始 的 ， 自 顶 向 下 的 方法 受到 了 具有 一 定理 论 
痛 景 的 设计 者 的 欢迎 。 
2) 和 上 自 底 向 上 的 范 型 : HAEE (bottom-up) 的 设计 范 型 是 指 设计 者 从 网 络 元 素 、 接 口 和 技 
术 出 发 ， 创 建新 的 管理 工具 来 配置 、 监 视 和 控制 现 有 的 系统 。 自 底 向 上 的 设计 并 不 只 局 限于 硬件 
设备 一 一 设计 者 也 能 够 将 高 层次 的 服务 和 其 他 软件 机 制 加 入 到 被 管理 的 对 象 集合 中 来 。 与 自 顶 
向 下 的 设计 一 样 ， 自 底 向 上 的 设计 可 以 只 关注 研究 网 络 管理 的 某 些 方面 ， 而 忽略 其 他 方面 ( 比 
如 只 包括 配置 与 故障 管理 ) 。 因 为 是 从 现 有 的 系统 开始 着 手 的 ， 所 以 自 底 向 上 的 范 型 受到 具有 一 
定 工 程 背 景 的 设计 者 的 欢迎 。 
概括 如 下 : 


如 果 要 设计 一 个 新 的 管理 系统 ， 可 以 采用 自 底 向 上 的 设计 方式 ， 从 现 有 系统 的 功能 着 





手 ; 也 可 以 采用 自 顶 向 下 的 方式 ， 从 基本 的 要 求 着 手 ， 创 建新 的 抽象 。 


15.3 自 顶 向 下 方法 的 特点 
自 项 向 下 的 设计 范 型 具有 以 下 特点 : 
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© 从 基本 的 需求 集合 出 发 。 

© 可 以 提供 任何 管理 功能 。 

。 超 越 现 有 系统 的 束缚 。 

。 利用 新 的 设计 抽象 扩展 了 管理 的 范围 。 

© 在 网 络 元 素 的 接口 采用 了 新 的 功能 。 

在 最 简单 的 情况 下 ， 自 顶 向 下 的 设计 仅仅 是 记录 、 命 名 那些 管理 任务 需要 的 功能 。 例 如 ， 我 
们 可 以 想象 操作 要 求 希 望 能 够 监控 网 络 中 每 一 条 链 路 的 性 能 。 设 计 者 可 以 创建 一 个 链 路 监控 功 
能 的 抽象 集合 ， 然 后 将 每 一 个 功能 的 输出 都 描述 出 来 ， 而 不 必 说 明 功 能 是 如 何 收集 和 生成 需要 
的 输出 的 。 类 似 地 ， 如 果 要 求 管 理 员 必须 能 够 控制 网 络 元 素 ， 那 么 设计 者 就 必须 指定 控制 功能 和 
配置 参数 的 抽象 集合 。 设 计 者 不 需要 对 各 个 功能 的 实现 做 出 详细 的 解释 ， 也 不 需要 将 当前 网 络 
系统 的 参数 与 抽象 联系 起 来 。 

日 项 向 下 设计 范 型 的 主要 优点 就 是 自由 : 设计 者 能 够 想象 出 一 个 全 新 的 、 脱 离 现实 束缚 的 
管理 方案 。 设 计 者 能 够 想象 出 新 的 管理 设备 和 服务 ， 即 便 它们 不 能 被 当前 的 网 络 元 素 所 支持 。 一 
旦 确定 了 抽象 集合 ， 设 计 者 需要 找到 一 种 有 效 的 方法 将 抽象 与 软 硬 件 对 应 起 来 。 


15.4 上 自 底 向 上 方法 的 特点 


目 兢 同上 的 设计 范 型 遵循 传统 的 工程 方法 ， 具有 以 下 特点 : 

e 从 现 有 系统 中 进行 推广 。 

e 保留 当前 的 网 络 元 素 与 服务 。 

© 适应 异 构 性 和 多 个 供应 商 。 

。 使 用 当前 的 管理 接口 。 

。 允许 功能 的 不 断 扩 展 。 

在 最 简单 的 情 次 下 ， 目 底 向 上 的 设计 只 能 适应 制造 商 或 设备 模型 只 有 很 小 差异 的 情况 。 例 
如 ， 我们 考虑 两 个 供应 商 设计 的 防火 墙 系统 。 每 一 个 系统 都 会 为 管理 员 提 供 设置 防火 墙 规 则 的 
接口 。 即 使 这 两 个 系统 的 基本 功能 大 致 相同 ， 系 统 的 接口 也 会 过 然 不 同 。 自 底 向 上 的 设计 就 会 检 
查 这 两 个 接口 ， 并 设计 出 整合 两 个 接口 的 特点 的 新 系统 。 

在 更 复 末 的 情况 下 ， 自 底 向 上 的 方法 能 够 用 于 生成 一 个 概括 。 这 个 概括 不 仅 可 用 于 眼前 的 
特定 实例 ， 而 且 还 适用 于 更 多 例子 。 例 如 ， 假如 设计 者 发 现 当前 的 系统 包含 一 个 参数 P， 并 日 可 
以 给 了 分 配 五 种 可 能 的 数值 。 为 了 概括 这 一 参数 ,设计 者 既 可 以 先 加 入 数值 ， 然 后 再 为 这 些 数 
值 附 上 清楚 的 含义 ， 也 可 以 从 一 开始 就 分 配 16 个 数值 ， 但 只 给 其 中 的 5 个 附 上 含义 。 上 述 两 种 
方法 都 可 以 达到 扩充 数值 集合 的 目的 。 


15.5 自 底 向 上 设计 中 的 功能 选择 问题 


在 日 底 同 上 的 设计 中 ,设计 者 必须 对 从 当前 系统 中 提取 的 功能 做 出 选择 。 目 前 主要 有 两 种 
选择 方式 ， 一 种 是 将 底层 系统 中 出 现 的 任何 功能 都 包括 进来 ， 另 一 种 将 所 有 底层 系统 之 间 通 用 
的 功能 包含 进来 。 也 就 是 说 ， 设 计 者 能 够 根据 从 当前 系统 中 提取 联合 的 或 交叉 的 功能 ， 然 后 设计 
出 一 套 管理 功能 集合 。 

上 述 两 种 方法 都 不 能 解决 所 有 问题 。 一 方面 ， 选 择 包含 底层 系统 中 的 任意 一 种 功能 会 使 管 
理 系 统 的 功能 非常 强大 。 但 是 ， 这 也 意味 着 管理 系统 可 能 会 包含 不 能 应 用 于 所 有 系统 的 功能 。 另 
一 方面 ， 只 包含 所 有 底层 系统 共有 的 功能 会 将 管理 系统 的 共同 功能 降 至 最 低 限 度 。 但 是 ， 这 也 意 
味 着 管理 系统 中 的 功能 可 以 应 用 到 任何 一 个 底层 系统 中 。 
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概括 如 下 : 


当 使 用 自 底 向 上 的 范 型 时 ， 设计 者 可 以 选择 将 每 一 个 底层 系统 的 功能 都 包含 到 管 


统 中 ， 也 可 以 只 选择 所 有 底层 系统 共有 的 功能 。 





15.6 两 种 设计 范 型 的 缺点 


每 一 种 设计 范 型 都 有 着 自身 的 缺点 。 批 评 者 指出 ， 自 底 向 上 的 设计 方法 倾向 于 一 种 增 量 的 
方式 。 它 不 能 够 将 那些 超出 当前 管理 接口 却 很 有 意义 的 数值 添加 进来 。 也 就 是 说 ， 因 为 自 底 向 上 
的 方法 不 改变 网 络 元 素 和 服务 ， 所 以 管理 系统 更 像 是 一 层 薄 板 ， 仅 仅 为 用 户 提供 了 一 些 接口 ， 却 
不 加 入 新 的 功能 。 更 重要 的 是 ， 供 应 商 更 趋向 于 选择 用 户 比 较 熟 悉 的 接口 。 因 此 ， 一 旦 一 种 接口 
被 广泛 接受 ， 即 使 存在 更 好 的 接口 ， 其 他 供应 商 也 会 采取 与 原来 相同 的 模式 。 因 此 ， 批 评 者 
指出 : 


与 创建 全 新 的 方法 不 同 ， 自 底 向 上 的 设计 范 型 更 趋向 于 保留 市 场 上 流行 的 事物 。 





自 项 向 下 的 设计 范 型 同样 有 自身 的 缺点 。 批 评 者 指出 ， 自 项 向 下 的 方法 可 能 会 导致 理论 化 
(theoretical) MAy Ek (impractical) 。 也 就 是 说 ， 因 为 自 顶 向 下 的 方法 源 于 用 户 的 需求 而 不 是 
当前 系统 ， 所 以 可 以 在 任意 一 个 较 高 层次 的 抽象 中 创建 出 新 功能 ， 却 没有 考虑 实现 这 些 功能 需 
要 的 开销 。 例 如 ， 设 想 一 个 允许 网 络 中 所 有 的 元 素 都 能 够 直接 访问 数据 的 管理 系统 是 可 能 的 ， 但 
是 在 实践 中 ， 如 果 网 络 没有 足够 的 带宽 ， 或 者 站 点 之 间 的 延迟 很 高 ， 那 么 汇聚 如 此 大 量 的 数据 是 
不 切实 际 的 。 这 一 点 可 概括 如 下 : 






因为 自 顶 向 下 的 设计 范 型 不 爱 现 实 已 有 系统 和 接口 的 限制 ， 所 以 按照 自 顶 向 下 的 方式 
生成 的 抽象 可 能 是 不 切实 际 的 ， 而 相应 的 实现 也 可 能 是 效率 低下 的 。 








15.7 一 种 混合 的 设计 方法 
设计 肴 替 样 才能 在 利用 自 项 回 下 与 和 目 底 向 上 范式 的 优点 的 同时 ， 不 断 地 修正 它们 的 缺点 呢 ? 





答案 就 是 混合 范式 。 当 设计 一 个 管理 系统 时 ， 努 力 创造 满足 高 层次 要 求 的 抽象 ， 但 注意 将 设计 与 
现实 情况 相 结合 。 也 就 是 说 ， 将 现实 中 的 问题 作为 检测 新 抽象 的 标准 。 

首先 ， 调 查 现 有 系统 的 管理 机 制 和 接口 。 此 外 ， 考 虑 跨越 多 个 站 点 的 大 型 网 络 所 带 来 的 实际 
约束 。 最 后 ， 将 参与 者 的 要 求 写 期 望 汇集 成 一 个 列表 。 一 旦 掌握 到 这 些 信息 ， 就 按照 自 顶 向 下 的 
设计 范 型 提出 新 的 、 高 层次 的 、 用 于 解决 管理 问题 各 个 方面 的 机 制 。 我 们 不 仅 要 想象 出 可 能 的 机 
制 ， 还 要 按照 目 底 四 上 的 设计 范 型 将 每 一 种 机 制导 现实 网 络 对 应 起 来 。 同 时 我 们 需要 考虑 实现 
这 些 机 制 的 开销 和 效率 。 我 们 不 断 地 重复 这 一 过 程 ， 对 效率 进行 分 析 ， 然 后 根据 分 析 结 果 提 炼 出 
相关 机 制 ， 或 者 直接 创建 效率 更 高 的 实现 ; 除非 找到 一 种 有 效 的 实现 方式 ， 否 则 就 放弃 对 应 的 
抽象。 

当然 ， 上 面 所 描述 的 混合 方法 不 能 保证 解决 所 有 的 问题 。 事 实 上 ， 戏 盾 仍然 存在 。 一 方面 ， 
如 果 提 出 的 所 有 机 制 都 是 低 效 的 ， 那 么 留 给 设计 者 的 只 是 一 些 无 用 的 、 不 得 不 和 弃 的 抽象。 I — 
方面 ， 如 采 提 出 的 所 有 机 制 都 能 够 在 现 有 的 网 络 中 直接 而 高 效 地 实现 ， 那 么 机 制 就 会 不 断 地 增 
加 ， 从 而 变 得 上 毫 无 意义 。 因 为 提出 的 这 些 设计 与 当前 系统 已 经 没有 明显 的 区 别 。 因 此 ,设计 者 必 
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须 提 出 既 包 含 新 的 思想 又 能 够 在 现实 的 网 络 中 实现 的 机 制 ， 这 是 一 件 十 分 困难 的 任务 。 我 们 可 
以 概括 如 下 : 


一 


混合 方法 虽然 可 以 使 新 的 提议 更 加 符合 实际 ， 但 是 可 能 会 退化 成 为 不 符合 需要 的 极 
端 。 这 些 极端 和 包括 无 用 的 抽象 与 无 意义 的 改进 。 为 了 避免 这 些 极端 ， 设 计 者 必须 找到 
可 以 切实 实现 的 新 的 抽象 。 











15.8 ”基本 抽象 的 关键 需求 


有 趣 的 是 ， 网 络 管理 中 最 重要 的 问题 是 缺少 能 够 形成 软件 系统 的 基本 抽象 。 虽 然 FCAPS 模 
型 定义 了 网 络 管理 的 概念 ， 但 是 它 所 描述 的 问题 空间 没有 提供 能 帮助 设计 者 创建 管理 软件 的 抽 
象 。 遗 憾 的 是 ， 目 前 也 没有 其 他 模型 能 够 填补 这 一 空 日 。 设 计 者 如 果 没 有 一 套 抽 象 集合 ， 就 缺乏 
创建 管理 软件 的 概念 基础 。 更 重要 的 是 ， 在 定义 出 系统 基本 的 方面 之 前 ， 我 们 没有 一 个 通用 的 词 
汇 表 来 比较 系统 或 讨论 系统 之 间 的 相似 点 和 不 同 点 。 因 此 ， 每 一 个 系统 都 必须 视 为 一 个 特征 与 
功能 的 集合 。 这 一 点 可 概括 如 下 : 





网 络 管理 中 最 关键 的 问题 是 缺少 能 够 形成 软件 系统 的 基本 抽象 。 抽 象 的 缺乏 使 得 设计 
者 无 法 理解 管理 系统 之 间 概 念 上 的 差异 性 和 相似 性 。 





也 许 是 网 络 管理 的 问题 是 过 于 复杂 并 且 没 有 约束 ， 以 至 于 至 今 没有 一 个 合适 的 抽象 集合 。 
也 许 抽象 可 以 被 设计 出 来 ， 但 是 研究 往往 关注 自 底 向 上 的 设计 范 型 ， 研 究 人 员 没 有 将 精力 放 在 
抽象 的 定义 上 。 无 论 是 什么 原因 ， 目 前 人 们 只 提出 了 很 少 的 建议 ， 并 且 没 有 一 个 能 够 获得 一 致 的 
肯定 。 

我 们 需要 什么 ? 以 设计 并 实现 管理 系统 为 目标 ， 一 个 抽象 集合 必须 具备 以 下 特点 : 

。 有 限 的 

° 正 交 的 

。 足够 的 

o 直观 的 

。 实用 的 on | 

1) ARM: 为 了 给 系统 创建 过 程 提供 有 益 的 帮助 ， 抽 象 集合 应 当 只 包含 少量 的 〈 比 如 4 ~5 
个 ) 主要 抽象 。 如 果 集 合 庞大 ， 抽 象 的 水 平 就 不 会 很 高 ， 抽 象 集合 就 会 与 包含 若干 纲要 相关 联 。 
也 就 是 说 ， 与 为 创建 新 系统 提供 基础 的 基本 抽象 不 同 ， 一 个 庞大 的 抽象 集合 一 般 来 源 于 自 底 向 
上 的 设计 过 程 中 ， 是 现 有 功能 的 目录 列表 。 

2) 正 交 的 : 集合 中 的 抽象 应 该 是 相互 独立 的 ， 抽 象 之 间 不 能 够 交 秋 和 相互 干扰 。 也 就 是 
说 ， 每 一 个 抽象 应 当 作 为 系统 某 一 个 方面 的 基础 ， 一 项 管理 活动 不 应 该 被 两 个 或 两 个 以 上 的 抽 
象 所 覆盖 。 

3) 足够 的 : 抽象 集合 应 当 足 以 覆盖 网 络 管理 的 所 有 方面 ， 同 时 作为 管理 软件 的 有 力 基础 。 
特别 地 ， 一 个 理想 的 抽象 集合 能 够 处 理 FCAPS 模型 的 各 个 方面 。 

4) 直观 的 : 抽象 是 为 人 服务 的 〈 比 如 创建 系统 的 设计 者 和 使 用 该 系统 的 管理 员 ) 。 因 此 ， 
每 一 个 抽象 必须 使 问题 或 解决 方案 的 一 个 方面 更 加 容易 理解 一 抽象 不 再 强迫 人 们 应 付 那 些 难 
以 理解 或 者 生 朴 的 概念 ， 而 是 更 加 符合 人 类 的 直观 感受 。 
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5) 实用 的 : 虽然 抽象 能 够 将 复杂 的 问题 简单 化 ， 帮 助 我 们 理解 问题 和 解决 方法 ， 但 是 我 们 
讨论 的 基本 抽象 是 为 设计 者 服务 的 : 想象 出 的 抽象 能 够 帮助 设计 者 创建 自动 化 管理 系统 。 因 此 ， 
抽象 必须 是 实用 的 ， 这 样 才能 设计 出 该 抽象 有 效 的 实现 。 实 现 包括 若干 方面 ， 其 中 包括 必要 的 计 
算 和 和 存储， 以 及 对 网 络 的 影响 ( 比如， 产生 的 流量 或 必须 的 延 时 )。 
概括 如 下 : 


抽象 集合 应 该 是 有 限 的 、 正 交 的 、 足 够 的 、 直 观 的 、 实 用 的 。 





15.9 与 操作 系统 的 类 比 


类 比 会 前 明基 本 抽象 的 重要 性 。 在 计算 科学 发 展 初期 ， 方 法 没有 被 标准 化 一 一 每 个 供应 商 
独 日 设计 处 理 共 和 LO 设备 。 一 旦 硬件 设计 完成 ， 就 会 设计 出 帮助 程序 员 使 用 硬件 的 控制 软件 。 
道 常 ， 控 制 软件 与 一 些 和 底层 硬件 特性 相 还 配 的 低层 次 的 功能 结合 在 一 起 。 例 如 ， 在 一 台 计 算 机 
上 包含 了 二 级 存储 设备 〈 比如 磁盘 ) ， 控 制 软件 就 会 将 启动 磁盘 、 停 止 磁 盘 、 移 动 磁 辟 、 传 输 数 
据 的 命令 包含 进来 。 

在 20 世纪 60 年代， 控制 软件 已 经 成 熟 起 来 。 逐 渐 地 ， 供 应 商 开 始 将 高 层次 的 抽象 和 更 复杂 
的 功能 包含 进来 。 最 终 ， 人 研究 人 员 (特别 是 MAC 工程 的 研究 人 员 ) 定义 了 功能 更 加 强大 的 抽 
象 ， 比 如 处 理 、 地 址 空间 、 用 户 账号 /登录 、 文 件 以 及 设备 独立 WO。 因 为 它们 能 够 获得 运行 系 
统 各 个 基本 方面 的 信息 ， 抽 象 为 设计 现代 操作 系统 提供 了 基础 。 一 名 操作 系统 设计 者 开始 会 为 
每 一 个 抽象 创建 精确 的 定义 ， 然 后 选择 将 它们 绑 定 到 一 起 的 方式 〈 比 如 ， 将 一 个 地 址 空间 与 一 
个 过 程 联系 起 来 ) 。 

为 操作 系统 创建 的 抽象 说 明了 网 络 管理 需要 的 是 什么 。 一 个 操作 系统 抽象 的 有 限 集合 已 经 
被 证 明 是 正 交 的 ， 足 够 用 于 大 多 数 系统 ， 对 用 户 和 设计 者 来 说 都 是 直观 的 ， 并 且 可 以 得 到 有 效 
实现 。 





用 于 建立 网 络 管理 系统 的 抽象 集合 可 以 像 建 立 操作 系统 的 抽象 一 样 功能 强大 并 且 非 党 
基础 。 









15.10 ”将 管理 从 网 络 元 素 分 离 


一 个 围绕 创建 网 络 管理 系统 的 关键 问题 就 是 整体 结构 : 管理 系统 能 够 脱离 网 络 元 素 而 独立 
FER? 或 者 说 ， 管 理 系统 能 够 与 网 络 元 素 相 整合 吗 ? 从 理论 上 说 ， 两 者 的 区 别 并 不 重要 一 一 我 
们 不 再 假设 用 一 个 独立 的 分 布 式 系统 来 处 理 管 理 任务 ， 而 是 想象 每 一 个 网 络 元 素 都 包含 了 一 个 
附加 的 管理 处 理 器 ， 网 络 元 素 上 的 管理 处 理 器 之 间 能 够 进行 通信 。 因 此 ， 一 个 独立 的 分 布 式 管理 
系统 也 可 以 通过 与 网 络 元 素 相 整 合 来 实现 。 

但 是 在 实践 中 ， 独 立 的 管理 系统 与 集成 的 管理 系统 之 间 的 区 别 非 常 重要 ， 主 要 有 两 方面 的 
原因 。 首 先 ， 独 立 的 管理 系统 在 创建 和 配置 管理 系统 时 不 需要 蔡 换 所 有 的 网 络 元 素 。 第 二 ， 如 果 
网 络 元 素 是 独立 于 管理 系统 的 ， 那么 监视 和 控制 两 个 网 络 元 素 之 间 的 交互 是 非常 容易 的 。 我 们 
可 以 认为 ,虽然 与 理论 工作 受 不 相关 ,但 是 较 早 的 部 署 与 简便 的 监控 是 实践 研究 中 的 关键 因素 。 

本 章 关 于 体系 结构 的 介绍 和 下 一 章 关 于 它 的 讨论 都 采用 了 实用 的 方法 。 也 就 是 说 ， 本 书 的 
讨论 已 经 默认 管理 系统 是 独立 于 被 管理 的 网 络 元 素 的 。 概 括 如 下 : 
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在 本 书 剩余 的 部 分 中 ， 我 们 假定 管理 系统 是 独立 于 底层 网 络 元 素 而 实现 的 。 这 一 区 别 


在 理论 上 不 是 必须 的 ， 但 是 在 实践 中 独立 性 使 得 开发 与 配置 变 得 更 加 容易 。 





15.11 抽象 与 网 络 元 素 之 间 的 映射 


认为 管理 系统 独立 于 底层 的 网 络 元 素 可 以 帮助 我 们 阐明 基本 抽象 的 目的 与 范围 。 实 质 上 ， 
抽象 只 应 用 于 管理 系统 。 因 此 ， 在 构建 一 个 管理 系统 时 ， 我 们 只 需要 检查 并 操作 网 络 的 抽象 版 
本 ， 而 不 会 受到 底层 网 络 元 素 细节 的 限制 。 特 别 地 ， 将 管理 系统 与 底层 网 络 元 素 分 离 可 以 使 设计 
者 在 设计 管理 软件 的 过 程 中 忽略 设备 的 独立 性 ， 并 且 使 用 与 抽象 匹配 的 高 层次 的 网 络 描述 。 

如 果 一 个 独立 的 管理 系统 运行 在 一 个 网 络 的 高 层次 的 、 抽 象 描述 上 ， 那 么 管理 系统 怎样 才 
能 控制 底层 的 网 络 元 素 呢 ? 答案 在 于 网 络 元 素 与 管理 系统 之 间 的 接口 上 。 每 一 个 网 络 元 素 接口 
(element interface) 完成 底层 网 络 元 素 所 使 用 的 操作 和 数据 表示 与 管理 系统 所 使 用 的 高 层次 的 表 
示 之 间 的 相互 转换 。 这 些 转 换 通 常 是 利用 软件 来 实现 的 。 图 15-1 说 明了 这 一 概念 。 
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图 15-1 与 被 管理 元 素 分 离 的 管理 系统 的 概念 上 的 组 织 结构 。 元 素 接 口 完 成 
管理 系统 所 使 用 的 抽象 表示 与 网 络 元 素 所 使 用 的 表示 之 间 的 转换 工作 


除了 允许 设计 者 在 不 改变 网 络 元 素 的 情况 下 创建 一 个 新 的 管理 系统 之 外 ， 将 管理 系统 与 网 
络 元 素 分 离 提 供 了 一 条 适应 异 构 性 的 新 途径 。 因 为 每 个 网 络 元 素 的 相关 接口 是 相互 独立 的 ， 所 
以 网 络 元 素 是 不 同 的 。 因 此 ， 可 以 在 不 影响 管理 系统 的 前 提 下 ， 将 设备 自身 的 细节 归 入 单个 网 络 
元 素 中 。 

注意 ， 让 管理 系统 独立 于 底层 网 络 元 素 的 概念 与 用 于 设计 管理 系统 的 范 型 是 无 关 的 〈( 比如 ， 
它 并 不 关心 是 否 遵循 目 底 加 上 或 自 顶 向 下 的 设计 范 型 ) 。 在 任何 一 种 情况 下 ， 一 个 网 络 元 素 的 接 
口 将 供应 商 和 设备 细节 与 管理 系统 隔离 开 来 。 


15.12 北向 与 南 向 的 接口 


从 概念 上 说 ， 网 络 元 素 接口 被 划分 为 北向 (northbound) 接口 和 南 向 (southbound) 接口 两 
个 部 分 。 这 两 个 部 分 的 名 称 与 信息 传输 的 方向 有 关 : 北向 指 信息 从 管理 系统 流向 网 络 元 素 ， 而 南 
向 指 信息 从 网 络 元 素 流 向 管理 系统 。 

一 般 来 说 ， 我 们 认为 南 向 的 路 径 是 传送 命令 、 配 置信 息 以 及 请 求 的 。 因 此 ， 管 理 系统 可 能 会 
使 用 南 向 的 路 径 重 新 启动 网 络 元 素 ， 更改 接口 的 了 P 地 址 ,或 者 请 求 状态 信息 。 通 常 ， 南 向 路 径 
一 次 会 传输 少量 的 信息 。 

我 们 认为 北向 路 径 是 传送 对 请 求 的 响应 、 状 态 信息 ， 以 及 异步 产生 的 事件 数据 。 例 如 ， 除 了 
对 来 自 管理 系统 的 明确 请 求 做 出 响应 以 外 ， 南 向 路 径 可 能 会 用 于 传输 SNMP 协议 的 trap 消息 和 
NetFlow 数据 。 因 此 ， 与 北向 路 径 不 同 ， 南 向 路 径 能 够 传输 包含 大 量 数据 的 持续 数据 流 。 
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我 们 概括 如 下 : 


管理 系统 与 网 络 元 素 的 接口 从 概念 上 分 为 两 部 分 : 从 管理 系统 到 底层 元 素 传 输 信 息 的 





北向 路 径 和 从 网 络 元 素 到 管理 系统 传输 信息 的 南 向 路 径 。 


15.13 体系 结构 方法 的 集合 


怎样 构建 广泛 应 用 于 网 络 管理 系统 的 软件 呢 ? 存在 以 下 几 种 可 能 的 方法 : 
。 单 片 体系 结构 

o 可 扩展 的 框架 

© 软件 背 板 

。 分 层 体 系 结构 

© 中 心 数据 库 结 构 


15. 13. 1 单 片 体 系 结构 


单 片 体系 结构 的 设计 思想 是 最 简单 的 一 一 构建 一 个 唯一 的 、 大 型 的 软件 系统 来 控制 并 监控 
一 个 网 络 元 素 集 合 。 管 理 系 统 通过 向 网 络 中 的 所 有 元 素 发 送 请 求 将 关于 网 络 状态 的 信息 收集 起 
来 。 系 统 会 根据 这 些 信 息 选 择 动作 。 一 旦 选 定 了 一 个 动作 ,管理 系 统 就 会 单独 地 与 网 络 元 素 进 行 
通信 ， 让 它们 执行 这 些 行动 。 图 15-2 说 明了 整个 体系 结构 。 


站 点 1 管理 员 的 站 点 2 管理 员 的 
显示 情况 显示 情况 


单 片 管理 系统 





( 
| 
上 


图 15-2 单 片 体系 结构 。 一 个 唯一 的 、 大 型 的 系统 与 管理 员 和 和 元素 接 口 进 行 交互 


单 片 体系 结构 有 着 自身 的 优点 与 缺点 。 主 要 的 优点 在 于 决策 过 程 的 集中 化 。 来 目 底 层 网 络 
元 素 的 数据 和 管理 请 求 数据 流 都 会 通过 一 个 唯一 的 统一 系统 ， 这 就 意味 着 系统 能 够 协调 决策 并 
保证 一 臻 性。 特别 地 ， 因 为 决定 来 源 于 一 个 系统 ， 所 以 单 片 体系 结构 能 够 避免 系统 的 两 个 或 多 个 
组 件 由 于 获得 不 一 致 的 信息 而 发 生 决 策 冲 突 的 情况 《比如 位 于 多 个 站 点 的 组 件 独自 地 做 出 决 
定 )。 更 重要 的 是 ， 单 片 系统 可 以 在 多 个 管理 员 之 间 进 行 协调 ， 保 证 管理 员 不 会 产生 自 相 矛盾 的 
决定 或 命令 。 | 
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具有 讽刺 意味 的 是 ， 单 片 体系 结构 与 生 俱 来 的 集中 化 的 特点 也 导致 了 它 最 大 的 缺点 缺乏 恢复 
性 和 灵活 性 。 因 为 只 要 一 点 发 生 故障 ， 整 个 单 片 系统 就 不 能 够 恢复 。 此 外 ， 单 片 体系 结构 对 链 路 故 
障 是 十 分 敏感 的 。 特 别 地 ， 单 片 的 方法 不 能 够 轻易 地 处 理 这 样 的 情况 。 在 这 一 情况 中 ， 网 络 跨越 多 
个 站 点 ， 即 使 是 在 站 点 内 部 通信 发 生 故 障 的 情况 下 ， 每 一 个 站 点 也 可 以 自主 地 继续 运行 。 最 后 ， 因 
为 所 有 的 处 理 和 人 工 接 口 工具 都 内 骨 到 系统 中 ， 所 以 单 片 系统 不 能 够 扩展 或 轻易 地 更 改 。 


15. 13.2 可 扩展 的 框架 


可 扩展 的 框架 (extensible framework) 通过 允许 管理 员 定 制 系统 而 加 强 了 单 片 的 方法 的 功 
能 。 尤 其 是 包含 钩子 (hook) 的 框架 允许 管理 员 蔡 换 模块 ， 比 如 用 户 接口 或 者 其 他 功能 单元 。 
图 15-3 说 明了 可 扩展 的 体系 结构 。 


站 点 1 管理 员 的 站 点 2 管理 员 的 ， 
显示 情况 显示 情况 


可 蔡 换 的 模块 


一 二 人- 


A ~a 
OOO o TL TLO | 
管理 系统 框架 


站 点 1 的 站 点 2 的 
< 一 ”一 2 te CC 
— tC] aR TR o O 
图 15-3 ”使 用 钩子 的 可 扩展 的 框架 。 为 了 定制 系统 ， 管 理 员 可 以 替换 其 中 的 一 个 或 多 个 模块 


正如 图 15-3 所 指出 的 ， 系 统 的 大 多 数 基 本 模块 可 以 保持 不 变 。 因 此 ， 管 理 员 既 获得 了 定制 
系统 的 权力 ， 又 不 会 因为 完全 替换 而 带 来 风险 。 


15. 13.3 软件 背 板 


一 个 用 于 创建 管理 系统 的 更 有 趣 的 体系 结构 就 是 软件 背 板 (software backplane ) 。 实 质 上 ， 
采用 背 板 方法 的 管理 系统 提供 了 与 硬件 设备 中 的 背 板 类 似 的 通信 机 制 。 也 就 是 说 ， 背 板 在 没有 
特殊 管理 功能 的 情况 下 提供 通信 ;提供 管理 功能 的 应 用 模块 与 背 板 相连 ， 并 且 使 用 背 板 进行 模 
块 之 间 的 通信 。 

事实 上 ， 在 网 络 管理 系统 中 有 两 类 模块 与 背 板 相连 : 管理 应 用 与 元 素 接口 。 管 理应 用 包含 控 
制 系统 所 需 的 逻辑 ， 而 元 素 接口 则 提供 与 网 络 元 素 的 通信 。 一 般 地 ， 一 个 元 素 接口 只 与 一 个 元 素 
相连 接 。 但 是 在 元 素 不 要 求 大 量 数据 的 情况 下 ， 一 个 接口 能 够 控制 一 个 元 素 集合 。 每 一 个 元 素 接 
口 都 会 为 整个 软件 背 板 提供 一 个 API， 人 允许 管理 应 用 程序 发 送 请 求 和 接收 应 答 。 此 外 ， 接 口 还 可 
以 被 配置 成 为 不 断 地 输出 数据 流 。 

图 15-4 说 明了 软件 背 板 的 体系 结构 。 


BISZ MARRAGA H 167 


”站 点 1 管理 员 的 站 点 2 管理 员 的 。 
a ne ae 


软件 背 板 


aJa] = I] h 


326% 
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图 15-4 ”提供 管理 应 用 与 元 素 搂 口 间 通 信 的 软件 背 板 。 从 概念 上 说 ， 软 件 背 板 是 跨越 多 个 站 点 的 

软件 背 板 有 两 个 十 分 有 趣 的 特性 。 首 先 ， 虽 然 上 图 显示 了 一 个 实体 ， 但 是 背 板 能 够 跨越 多 个 
网 络 站 点 。 也 就 是 说 ， 背 板 可 以 作为 一 个 分 布 式 的 通信 系统 。 在 这 个 系统 中 ， 每 个 站 点 可 以 拥有 
一 个 或 多 个 节点 。 第 二 ， 虽 然 应 用 程序 提供 了 管理 员 的 工作 站 与 底层 系统 之 间 的 连接 ， 但 是 应 用 
程序 不 需要 与 管理 员 进 行 交 互 一 一 应 用 程序 能 够 在 没有 人 工 干预 的 情况 下 自主 地 运行 ， 获 得 信 
息 并 处 理 信息 

背 板 体系 结构 与 单 片 体系 结构 的 一 个 重要 区 别 就 是 做 出 决定 的 位 置 。 背 板 体系 结构 不 是 将 
所 有 的 管理 决定 都 整合 到 唯一 的 系统 中 ， 而 是 使 用 一 套 应 用 程序 协同 工作 。 背 板 只 提供 允许 应 
用 程序 与 网 络 元 素 通信 以 及 与 其 他 应 用 程序 进行 协调 的 工具 。 在 极端 的 情况 下 ， 所 有 的 管理 功 
能 都 放置 在 应 用 程序 中 ， 而 背 板 不 能 够 包含 任何 管理 软件 。 

软件 背 板 体系 结构 的 主要 优点 是 易于 扩展 。 使 用 迟 绑 定 技术 的 背 板 允许 管理 员 在 任何 时 刻 
添加 新 的 应 用 程序 和 元 素 接口 。 因 此 ， 这 种 体系 结构 能 够 适应 应 用 程序 和 网 络 元 素 的 扩展 。 软 件 
底板 体系 结构 的 主要 缺点 就 是 使 用 唯 -- 的 通信 范 型 一 一 该 范 型 能 够 较 好 地 应 用 于 事务 中 ， 却 不 
能 有 效 地 处 理 大 批量 的 数据 传输 。 


15. 13. 4 分 层 体系 结 十 构 


分 层 体 系 结 549 (tiered hierarchy) 精 化 了 上 面 描述 的 背 板 体系 结构 。 背 板 体系 结构 允许 设计 
者 划分 应 用 程序 中 的 功能 ， 其 中 一 些 功 能 需要 与 管理 员 交 互 ， 而 男 一 些 可 以 自主 地 运行 。 分 层 体 
系 结构 通过 将 管理 应 用 程序 组 织 成 不 同 层 次 结构 使 它们 之 间 的 区 别 形式 化 。 

在 一 个 分 层 的 体系 结构 中 ， 每 一 层 都 与 系统 中 的 一 个 逻辑 功能 相对 应 。 为 了 实现 分 层 的 体 
系 结构 ， 疫 计 者 选择 了 一 要 四 加 功 能 并 将 它们 安排 在 层次 化 的 结 物 中 。 通过 将 应 用 程序 与 其 对 
应 的 逻辑 功能 相关 联 ， 把 应 用 程序 划分 为 若干 层 。 

为 了 进一步 理解 分 层 的 方法 ， 图 15-5 给 出 了 一 个 分 层 的 体系 结构 。 在 这 个 结构 中 ， 应 用 程 
序 被 划分 为 三 个 基本 的 功能 类 型 。 
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。 用户 接口 层 : 接口 展 包含 处 理 系统 与 管理 员 接 口 的 应 用 程序 。 例 如 ， 接 口 层 的 应 用 程序 允 
许 管理 员 提出 请 求 ， 并 用 图 形 表示 格式 化 数据 。 

e 汇聚 层 : 汇聚 层 包 含 从 多 个 设备 上 收集 、 分 析 以 及 关联 数据 的 应 用 程序 。 在 汇聚 层 中 ， 上 典 
型 的 应 用 程序 用 于 过 滤 和 选择 有 趣 的 项 目 ， 然 后 概括 出 结果 。 例 如 ， 一 个 应 用 程序 可 能 会 
接收 NetFlow 数据 ， 选 择 特定 的 数据 流 ， 然 后 分 析 被 选项 目 。 

e 访问 层 : 访问 层 包含 为 控制 元 素 或 收集 信息 而 与 底层 网 络 元 素 进行 交互 的 应 用 程序 。 例 
如 ， 访 问 层 的 应 用 程序 可 以 配置 网 络 元 素 ， 让 其 报告 事件 ， 然 后 将 这 些 事 件 转发 到 汇聚 层 


270 的 应 用 程序 中 。 a 
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图 15-5 ”将 应 用 程序 划分 为 三 层 的 分 层 体 系 结构 。 每 一 层 都 与 系统 的 一 个 逻辑 功能 相对 应 
分 层 体系 结构 的 主要 优点 是 允许 消除 重复 的 设计 一 一 在 层次 结构 中 只 有 一 个 点 能 够 汇聚 或 
概括 原始 数据 ， 并 将 这 些 数据 概括 成 摘要 用 于 各 个 方面 。 该 体系 结构 的 主要 缺点 在 于 所 有 的 管 
理 程序 都 引入 了 多 余 的 层 : 虽然 汇聚 原始 数据 对 分 析 性 能 是 十 分 有 益 的 ， 但 是 汇 聚 层 只 利用 了 
271) ”直接 传输 的 开销 。 | | 


15. 13. 5 中心 数 据 库 结构 


中 心 数 据 库 (database-centric) 体系 结构 也 许 是 最 为 有 趣 和 新 奇 的 。 它 将 内 部 网 络 描述 的 概 
念 形 式 化 ,关注 数 据 的 一 致 性 ， 并 且 使 用 传统 的 数据 库 技术 存储 信息 。 

为 了 理解 数据 库 是 怎样 应 用 于 管理 系统 的 ， 我 们 回忆 一 下 SNMP 协议 所 遵循 的 范 型 。SNMP 
协议 不 提供 一 个 大 规模 的 管理 命令 集合 ， 而 是 定义 了 一 个 管理 信息 库 (MIB)。 管 理 信息 库 包含 
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一 个 抽象 变量 的 集合 ， 并 将 所 有 的 操作 都 表示 为 对 MIB 变量 提出 GET Al SET 请 求 的 形式 。 中 
心 数据 库 体系 结构 通过 人 允许 设计 者 为 网 络 中 的 每 一 项 创建 抽象 变量 ， 扩 展 了 使 用 MIB 变量 的 概 
念 。 其 中 包括 与 硬件 选项 、 配 置 参数 、 协 议 、 高 层 服务 以 及 与 网 络 测量 相关 的 变量 。 

中 心 数据 库 体 系 结构 不 采用 SNMP 协议 在 每 一 个 网 络 元 素 上 定义 一 个 代理 的 方法 ， 而 是 按 
照 统 一 的 目的 将 抽象 变量 存储 在 分 布 式 数 据 库 系统 中 。 也 就 是 说 ， 数 据 库 方 案 是 与 和 抽象 变量 
相关 的 字段 一 同 创建 的 。 从 应 用 程序 的 角度 来 看 ， 使 用 数据 库 与 使 用 SNMP 协议 是 类 似 的 。 当 
管理 应 用 程序 需要 关于 网 络 的 信息 时 ， 应 用 程序 就 会 从 数据 库 中 取 回 (〈fetch) 合适 的 记录 。 类 
似 地 ， 当 需要 更 改 时 ， 冒 理应 用 程序 就 会 采用 存储 ( store) 操作 ， 将 合适 的 数据 库 记 录 保 存 
下 来 。 1 
利用 管理 应 用 程序 操纵 数值 数据 库 是 不 够 的 ， 除非 数据 库 中 的 这 些 数值 与 网 络 元 素 绑 征 在 
一 起 。 因 此 ， 数 据 库 需要 通过 添加 元 素 接 口 进行 扩展 。 和 在 其 他 体系 结构 中 一 样 ， 一 个 元 素 接 口 
同时 处 理 南 向 和 北向 的 传输 。 每 当 数 据 库 中 的 数值 改变 时 ， 南 向 接口 就 将 更 改 消 息 传 递 给 底层 
网 络 元 素 ; 每 当 元 素 检测 到 网 络 的 变更 时 ， AGI) ah EL RTE TE SO I I 
中 。 图 15-6 说 明了 上 述 体系 结构 2>。 

中 心 .数据库 体系 结构 主要 有 了 丽 个 优点 和 个 缺点 。 首 先 ， 因 为 它 依赖 于 标准 化 的 技术 ( 比 
如 ， 关 系数 据 库 系统 ) 来 解决 长 期 持续 地 管理 数据 的 任务 ， 所 以 该 体系 结构 避免 了 彻底 改变 一 
个 持久 的 存储 系统 。 第 二 ， 因 为 分 布 式 数 据 库 系统 能 够 很 好 地 处 理 同步 与 并 发 ， 所 以 中 心 数据 库 
体系 结构 可 以 有 效 地 解决 创建 一 个 跨越 多 个 站 点 的 分 布 式 管理 系统 所 带 来 的 问题 。 中 心 数据 库 
体系 结构 的 缺点 在 于 给 那些 不 需要 永久 保存 的 选项 带 来 了 额外 的 开销 (比如 简单 的 事务 ) 。 

下 面 几 章 将 会 扩展 关于 中 心 数据 库 体 系 结构 的 讨论 。 我 们 将 会 考察 在 初始 化 阶段 网 络 的 信 
息 是 怎样 加 载 到 数据 库 中 的 ， 以 及 语义 的 限制 是 怎样 与 数据 选项 相关 联 的 。 


站 点 1 管理 员 的 站 点 2 管理 员 的 
SE Em (ML 





”多 用 途 的 分 布 式 数据 库 


i 


元 素 接口 > 
站 点 的。 站 点 2 的 | | 
一 一 一 > at 元 素 元 家 一生 -一 一 -一 一 


图 15-6 ”中 心 数据 库 体 系 结构 。 元 素 接口 直接 与 数据 库 耦合 以 保证 数据 库 中 的 数值 与 底层 网 络 同 步 


O 虽然 该 图 说 明了 在 相同 级 别 上 的 所 有 应 用 ,但 具有 分 层 结构 的 应 用 也 可 以 在 数据 库 中 心 体系 结构 中 使 用 。 
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15.14 有 用 的 实现 技术 


上 一 节 关 于 体系 结构 的 描述 重点 介绍 了 自动 管理 系统 的 总 体 结 构 ， 但 没有 对 细节 进行 说 明 。 
目前 ， 有 几 种 技术 可 以 增强 系统 的 体系 结构 并 优化 系统 的 性 能 ， 提 高 灵活 性 。 例 如 ， 有 用 的 技术 
包括 : 
。 自动 复制 
。 数据 高 速 缓存 
。 代码 移植 
1) 自动 复制 : 当 考察 涉及 大 量 复制 工作 的 软件 体系 结构 时 ， 我 们 就 会 使 用 这 一 技术 。 例 
如 ,第 11 章 讨论 使 用 远程 流量 收集 器 ， 它 在 向 中 心 管理 系统 发 送 统 计数 据 之 前 汇聚 流量 数据 。 
这 些 实例 中 的 基本 问题 集中 于 应 该 使 用 光 少 汇聚 节点 ， 以 及 在 哪里 安放 这 些 节点 。 

自动 复制 避免 了 事先 选择 汇聚 点 的 需求 。 实 质 上 ， 一 开始 自动 复制 选择 一 个 固定 的 汇聚 点 
SAKE! 当然 ， 该 节点 集合 可 以 为 空 。 如 果 管 理 流 量 超出 了 预先 定义 的 水 平 ， 系 统 就 会 
自动 地 增加 远程 汇聚 点 的 数量 9 。 因 此 ， 重 复 的 结构 会 按照 需求 不 断 增长 。 

2) 数据 高 速 缓存 : 数据 高 速 缓存 的 主要 思想 非常 简单 : 每 当 数据 需要 传送 到 一 个 远程 位 置 
时 ， 远 程 位 置 会 保存 一 份 数据 的 拷贝 ， 然 后 根据 这 份 拷贝 处 理 后 续 请 求 。 当 然 ， 如 果 数 据 过 时 
(EEX), 那么 高 速 缓存 的 拷 由 就 没有 任何 用 处 。 因 此 ， 高 速 缓存 的 方案 必须 包含 允许 系统 决 
定 高 速 缓存 的 数据 此 时 是 否 有 效 的 机 制 。 

对 于 多 个 站 点 的 网 络 来 说 ， 管 理 系统 允许 管理 员 重复 地 检验 管理 数据 ， 因 此 高 速 缓存 机 制 
是 非常 重要 的 。 例 如 ，-- 个 分 析 数 据 流 的 应 用 程序 允许 管理 员 在 改变 汇聚 标准 之 后 重新 分 析 流 
量 数据 。 如 果 分 析 和 显示 功能 位 于 一 个 站 点 上 ， 而 一 部 分 流量 数据 是 由 其 他 站 点 收集 的 ， 那 么 高 
速 缓存 机 制 就 能 够 显著 地 提高 性 能 。 高 速 缓存 为 不 经 常 更 改 的 其 他 形式 的 管理 信息 提供 了 类 似 
的 改进 ， 其 中 包括 元 信息 ， 比 如 策略 数据 、 访 问 列表 、 目 录 以 及 账户 信息 等 。 

3) 代码 移植 : 虽然 体系 结构 不 能 够 指定 细节 ， 比 如 运行 管理 软件 的 硬件 系统 的 类 型 等 ， 但 
是 我 们 关于 体系 结构 的 讨论 暗藏 着 一 个 传统 的 计算 模型 ， 用 固定 数量 的 计算 机 集合 运行 管理 系 
统 ， 每 一 台 计 算 机 都 被 预先 分 配 一 套 管理 任务 。 因 此 ， 讨 论 假 设 管理 员 能 够 计算 出 运行 管理 软件 
所 需要 的 资源 ， 然 后 将 软件 静态 地 分 配给 每 一 台 计算 机 。 虽 然 自动 复制 减少 了 获得 关于 运行 管 
理 软 件 所 需 的 精确 硬件 资源 的 需求 ， 但 是 复制 不 能 增加 整个 设计 的 灵活 性 。 

为 了 理解 怎样 创造 出 更 具 灵 活 福 的 体系 结构 ， 我 们 考虑 一 个 将 管理 软件 与 硬件 进行 动态 乡 
定 的 系统 。 也 就 是 说 ， 假 设 代码 是 可 解释 的 ， 可 以 运行 在 任意 一 台 管 理 处 理 器 上 。 我 们 可 以 不 采 
用 管理 系统 优化 数据 传输 的 结构 ， 而 是 创建 一 个 能 够 将 代码 移植 到 一 个 正在 进行 处 理工 作 的 节 
点 上 的 管理 系统 。 为 了 再 次 使 用 分 析 数 据 流 的 例子 ， 我 们 考虑 选择 和 概括 流量 数据 的 任务 。 系 统 
不 再 将 所 有 的 数据 都 发 送 到 中 心 节点 进行 分 析 ， 而 是 将 分 析 程 序 发 送 给 远程 的 节点 。 当 运行 时 ， 
程序 处 理 并 概括 数据 ， 然 后 只 将 摘要 传送 回 中 心 站 点 并 显示 出 来 。 

代码 移植 的 主要 优点 在 于 ， 系 统 可 以 动态 地 将 任务 分 配给 管理 硬件 。 例 如 ， 如 果 管 理事 件 在 

一 个 站 点 的 比率 不 断 增加 ， 事 件 分 析 程 序 的 拷贝 就 会 被 移植 到 这 个 站 点 。 类 似 地 ， 如 果 一 个 指定 
管理 活动 的 比率 不 断 降低 ， 那么 系统 就 会 选择 巩固 用 于 处 理 该 活动 的 代码 拷贝 

这 一 点 可 概括 如 下 : 


O 如果 可 用 的 硬件 不 能 支持 添加 的 汇聚 点 ， 管 理 系统 能 够 推荐 浴 加 更 多 的 硬件 。 


BISE MARAR A EH 171 


有 用 的 技术 可 以 增加 管理 系统 的 灵活 性 和 效率 。 这 些 技术 包括 自动 复制 、 数 据 高 速 组 


存 以 及 代 码 移 植 9 





15.15 可 编程 接口 的 迟 绑 定 


在 前 面 提出 的 所 有 体系 结构 中 ， 应 用 程序 扮演 着 重要 的 角色 。 事 实 上， 当前 管理 系统 与 目 动 
化 管理 系统 的 关键 不 同 在 于 让 关注 的 焦点 远离 人 类 一 一 管理 员 只 需要 指定 策略 ， 软 件 系统 就 会 
实现 这 些 策 略 。 因 此 ， 由 于 应 用 程序 处 于 自动 化 系统 的 核心 部 位 ， 系 统 为 应 用 程序 提供 的 接口 是 
非常 重要 的 。 

工程 师 使 用 可 编程 接口 (programmatic interface) 这 个 名 词 描 述 应 用 程序 访问 管理 系统 的 接 
口 。 这 一 点 概括 如 下 : 


因为 将 焦点 自动 地 从 管理 员 转 移 到 应 用 程序 上 ， 所 以 自动 化 系统 十 分 强调 可 编程 


接口 。 





正如 例子 中 的 体系 结构 所 证 明 的 ， 可 以 使 用 各 种 可 编程 接口 。 例 如 ， 在 单 片 体系 结构 中 ， 所 
有 的 应 用 软件 都 会 在 创建 系统 的 时 候 被 链接 在 一 起 。 在 可 扩展 的 架构 中 ， 一 些 模块 可 以 在 系统 
建成 后 被 替换 掉 。 但 是 与 软件 背 板 相 比 ， 在 可 扩展 染 构 中 进行 蔡 换 通常 是 更 加 困难 的 。 

决定 一 个 自动 化 系统 灵活 性 的 关键 概念 是 系统 与 应 用 软件 之 间 的 绑 定 。 我 们 根据 时 间 将 绑 
定 划 分 为 早 绑 定 (early-binding) 和 迟 绑 定 〈late-binding) WA. PARAM ee RS 
合 的 〈tightly coupled): 在 创建 系统 时 ， 设 计 者 就 将 应 用 软件 与 系统 相 链接 。 相 反 ， 使 用 迟 绑 定 
的 体系 结构 是 松 耦 合 的 〈loosely coupled) ， 即 应 用 程序 可 以 在 系统 建成 之 后 加 入 。 因 此 ， 单 片 系 
统 采 用 的 是 早 绑 定 的 方式 ， 而 采用 软件 背 板 体系 结构 的 系统 使 用 的 是 迟 绑 定 的 方式 。 

因为 设计 者 可 以 优化 程序 之 间 的 交互 过 程 ， 所 以 早 绑 定 的 效率 正 不 断 提 高 。 但 是 ， 因 为 早 绑 
定 意味 着 在 设计 阶段 做 出 的 决定 不 能 再 更 改 ， 所 以 它 缺 乏 灵活 性 。 对 于 一 个 新 的 、 不 易 理 解 的 目 
动 化 系统 来 说 ， 体 系 结构 采用 迟 绑 定 的 方式 是 更 加 合适 的 〈 比 如 ， 在 系统 构成 之 后 ， 迟 绑 定 为 
更 改 系统 提供 了 最 大 的 灵活 性 ) 。 概 括 如 下 : 


在 松 巩 耦 合 的 体系 结构 中 ， 可 编程 接口 采用 迟 线 定 的 方式 ， 为 管理 应 用 程序 在 系统 创 





建 完毕 之 后 进行 修改 提供 了 最 大 的 灵活 性 。 


15.16 ”验证 外 部 期 望 


本 章 所 考察 的 体系 结构 并 不 全 面 ， 还 存在 着 其 他 体系 结构 。 例 如 ， 一 种 特殊 的 体系 结构 主张 
将 控制 与 确认 分 离开 来 。 为 了 理解 这 种 方法 ， 首 先 考虑 下 面 四 点 断言 : 

@ 网 络 管理 是 如 此 复杂 ， 以 至 于 程序 员 无 法 编写 出 完美 的 管理 软件 。 

。 因为 管理 系统 包含 多 个 可 自主 运行 的 部 分 ， 所 以 这 些 部 分 之 间 的 交互 可 能 会 在 无 意 中 禹 

来 负面 影响 。 

© 因为 策略 是 可 以 交合 的 ， 所 以 让 管理 员 预 测 策 略 的 综合 影响 是 十 分 困难 的 。 

© 在 实现 过 程 中 做 出 的 一 个 很 小 的 决定 也 有 可 能 对 整个 网 络 的 行为 产生 巨大 的 影响 。 

因为 上 述 所 有 四 个 断言 都 是 似是而非 的 ， 所 以 自动 化 系统 不 可 能 防止 所 有 的 问题 一 一 即使 
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管理 系统 是 精心 构建 的 ， 复 杂 的 网 络 也 会 发 生 人 们 难以 预料 的 情况 。 

如 有 果 我 们 接受 了 没有 一 个 管理 系统 能 够 防止 所 有 问题 的 假设 ,那么 我 们 该 选择 哪 一 种 体系 
结构 呢 ? 我 们 怎样 将 出 人 意料 的 结果 降 至 最 小 呢 ? 一 种 可 能 的 方法 是 安排 一 个 独立 的 验证 系统 ， 
用 于 检查 底层 网 络 。 图 15-7 说 明了 整个 系统 的 体系 结构 。 
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图 15-7 使 用 独立 验证 系统 检查 输出 结果 的 体系 结构 。 
网 络 管理 系统 能 够 使 用 前 面 描述 的 任何 一 种 体系 结构 
如 图 15-7 所 示 ， 该 体系 结构 的 思想 十 分 简单 : 验证 系统 独立 于 管理 系统 而 运行 ， 并 且 检 查 
网 络 的 输出 结果 。 因 为 可 以 访问 整个 网 络 ， 所 以 验证 系统 能 够 检查 网 络 的 全 局 行为 。 这 一 点 可 概 
括 如 下 : 


网 络 系统 固有 的 复杂 性 也 许 意味 着 即使 管理 系统 正确 地 运行 ， 网 络 也 会 出 现 令 人 难以 





预料 的 结果 。 处 理 这 一 问题 的 一 种 方法 是 使 用 外 部 系统 来 检查 期 望 的 输出 结果 。 


图 15-7 没有 显示 出 管理 系统 与 验证 系统 之 间 任 何 的 直接 交互 。 这 出 于 十 分 重要 的 原因 : 为 
了 验证 输出 结果 ， 验 证 过 程 不 能 依靠 从 管理 系统 获得 的 信息 。 特 别 地 ， 如 果 相 对 于 管理 系统 而 言 
处 于 内 部 的 网 络 信息 与 底层 网 络 的 实际 状态 出 现 不 一 致 的 情况 ， 那 么 对 管理 系统 的 数据 进行 验 
证 是 不 能 够 检测 出 这 些 问题 的 。 我 们 需要 谨慎 地 允许 验证 器 检查 内 部 管理 系统 中 的 数据 (比如 ， 
检验 信息 是 否 与 现实 相符 )。 但 是 ， 外 部 验证 系统 的 目标 是 检查 输出 结果 ， 并 不 需要 评估 管理 系 
统 是 否 正 确 地 运行 。 

如 图 15-7 所 示 ， 验 证 系统 有 两 种 输入 形式 。 首 先 ， 验 证 系统 利用 控制 管理 系统 的 策略 集合 。 
其 次 ， 它 会 读 取 需要 进行 检查 的 、 期 望 的 输出 结果 (expected outcome) 。 期 望 的 结果 可 能 会 包含 
积极 和 消极 的 内 容 。 例 如 ， 一 个 企业 网 络 的 管理 员 应 当 能 够 做 出 类 似 于 这 样 的 关于 积极 期 望 的 
陈述 : 

路 由 按照 预期 的 结果 提供 了 一 条 从 网 络 中 任意 一 点 到 外 部 Internet 的 路 径 。 

类 似 地 ， 管 理 员 应 当 能 够 对 未 达到 预期 结果 的 情况 做 出 陈述 ， 比 如 : 

出 人 意料 地 ， 傍 晚 和 夜 闻 的 网 络 使 用 率 超 出 了 白天 工作 时 间 的 使 用 率 。 

理想 的 期 望 集合 不 关心 单独 的 链 路 和 网 络 元 素 ， 而 是 为 整个 网 络 指定 条 件 。 更 重要 的 是 ,为 
了 提供 最 全 面 的 验证 ， 期 望 应 当 与 管理 系统 中 的 功能 正 交 。 因 此 ， 如 果 管 理 员 单独 说 明了 路 由 和 
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防火 墙 的 策略 ， 那 么 期 望 也 该 指定 包含 路 由 与 防火 墙 的 输出 结果 。 类 似 地 ， 如 果 管 理 系统 允许 规 
范 流 量 工 程 的 路 径 ， 那 么 期 望 就 会 指出 所 有 路 径 上 的 流量 的 综合 影响 ， 或 者 在 流量 工程 路 径 上 
其 他 网 络 流量 的 影响 。 - . | 


为 了 检查 交互 ， 期 望 集合 应 当 为 整个 网 络 指定 条 件 并 且 包 含 多 个 策略 和 子 系 统 。 





15.177 正 交 工具 的 体系 结构 


上 面 关 于 体系 结构 的 讨论 假定 构建 一 个 唯一 的 、 覆 盖 网 络 管理 各 个 方面 的 分 布 式 系统 。 构 
建 一 个 大 型 的 集成 系统 也 许 的 确 是 可 行 的 ， 而 且 是 理想 的 结果 。 但 是 ， 对 于 包含 大 量 功 能 的 系统 
来 说 ， 它 的 验证 工作 仍然 有 很 多 问题 。 即 使 建成 了 一 个 全 面 的 系统 ， 关 于 正确 性 、 灵 活性 ， 以 及 
最 终 代 码 的 效率 问题 仍然 存在 。 

目前 ， 有 不 同 于 唯一 、 大 型 的 分 布 式 系统 的 其 他 可 供 选 择 的 方案 吗 ? 软件 背 板 体系 结构 提出 
了 一 种 可 能 : 在 一 个 由 独立 工具 组 成 的 集合 中 ， 每 一 个 工具 负责 解决 一 部 分 问题 。 这 一 建议 的 中 
心 问 题 是 : 是 否 需要 背 板 ? 管理 工具 之 间 是 否 需 要 进行 通信 ? 也 就 是 说 ， 管 理 系 统 所 包含 的 工具 
是 独立 地 进行 工作 ， 还 是 需要 相互 间 进 行 协作 ? 

如 有 果 工 具 之 间 的 协作 是 必须 的 ， 那 么 哪 一 项 功能 是 必要 的 呢 ? 主要 有 两 种 可 能 : 

o 运行 时 的 协作 

© 数据 格式 与 解释 上 的 协作 

1) 运行 时 的 协作 : 即使 工具 能 够 独立 地 完成 任务 ， 也 需要 通过 协作 防止 一 个 工具 干扰 其 他 
工具 。 运 行 时 的 协作 是 指 在 工具 之 间 实 现 同步 以 保证 在 多 个 网 络 元 素 上 的 更 新 和 修改 是 原子 的 。 
这 样 就 能 防止 在 给 定 的 时 间 内 两 个 工具 都 试图 管理 同一 元 素 的 情况 。 

2) 数据 格式 与 解释 上 的 协作 : 数据 协作 是 指 在 数据 格式 和 数据 含义 上 达成 一 致 。 即 使 唯一 
的 数据 交换 是 通过 文件 在 二 级 存储 设备 上 完成 的 〈 比 如 ， 不 需要 背 板 的 情况 ) ， 管 理工 具 也 必须 
遵守 产生 和 请 耗 数据 的 标准 表示 。 


15.18 Ba 


在 设计 网 络 管理 系统 时 可 以 采用 两 种 主要 的 设计 范 型 : 从 当前 的 网 络 元 素 进 行 概括 的 自 底 
回 上 的 设计 范 型 ， 以 及 从 需求 和 抽象 集合 着 手 的 自 顶 向 下 的 设计 范 型 。 自 顶 向 下 的 设计 范 型 提 
供 了 实现 新 的 、 强 大 的 功能 的 潜力 ， 但 是 可 能 会 出 现 不 切实 际 的 情况 。 自 底 向 上 的 设计 范 型 保证 
最 终 的 系统 能 够 在 现 有 的 网 络 元 素 上 工作 ,但 可 能 在 进行 改进 的 过 程 中 受到 限制 。 作 为 妥协 ， 如 
宋 能 够 找到 一 种 有 效 地 实现 抽象 的 方法 ， 那么 就 可 以 使 用 自 顶 向 下 的 方法 。 

FCAPS 模型 提供 了 用 于 定义 问题 的 抽象 ,但 是 没有 给 出 用 于 执行 管理 系统 的 抽象 。 目 前 ， 
还 没有 一 种 模型 能 够 填补 这 一 空白 。 在 理想 情况 下 ， 抽 象 集合 必须 是 有 限 的 、 正 交 的 、 足 够 的 、 
直观 的 、 实 用 的 。 

从 概念 上 说 ,管理 系统 是 脱离 于 底层 网 络 元 素 的 。 接 口 用 于 连接 管理 系统 与 每 一 个 网 络 元 
素 。 从 管理 系统 到 网 络 元 素 之 间 的 数据 传输 被 认为 是 北向 的 ， 而 从 网 络 元 素 到 管理 系统 的 数据 
传输 被 认为 是 南 向 的 。 

我 们 回顾 了 几 种 体系 结构 的 方法 ， 其 中 包括 单 片 系 统 、 可 扩展 的 架构 、 软 件 背 板 、 分 层 的 体 
系 结构 ， 以 及 中 心 数据 库 体系 结构 。 一 些 技 术 可 以 增加 管理 系统 的 灵活 性 和 效率 ， 其 中 包括 自动 
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复制 、 数 据 高 速 绥 存 ， 以 及 代码 移植 。 作 为 选择 ， 体 系 结构 可 以 被 定义 为 一 个 松 看 合 的 正 交 工具 
的 集合 。 

因为 与 人 工 操 作 相 比 ， 应 用 程序 对 自动 化 系统 有 着 更 加 重要 的 影响 。 应 用 程序 与 系统 之 间 
的 绑 和 定 是 至 关 重 要 的 。 使 用 早 绑 定 的 系统 会 在 设计 系统 的 时 候 将 应 用 程序 集合 固定 下 来 ;而 迟 
绑 定 机 制 则 提供 了 更 大 的 灵活 性 。 因 为 迟 绑 定 允许 在 系统 建立 之 后 增加 或 修改 应 用 程序 。 

网 络 是 十 分 复杂 的 。 由 于 管理 策略 与 自治 部 分 之 间 的 相互 影响 ， 即 使 系统 按照 策略 正确 地 
运行 ,也 可 能 会 产生 令 人 惊讶 的 结果 。 一 个 包含 外 部 验证 系统 的 宏观 体系 结构 可 以 用 于 检查 出 
平 意料 的 输出 结果 。 


第 16 章 表示、 语义 与 信息 模型 


16.1 简介 


本 部 分 内 容 通过 考虑 可 以 自动 配置 、 控 制 、 监 视 与 操作 网 络 的 系统 ， 讨 论 了 网 络 管理 的 未 来 
发 展 。 第 14 章 提出 了 总 体 目标 与 特点 ， 以 及 与 预期 的 自动 化 程度 有 关 的 基本 问题 。 第 15 章 讨论 
了 可 能 的 体系 结构 ， 包 括 一 种 中 心 数据 库 的 体系 结构 。 

本 章 将 继续 关于 未 来 的 可 能 性 的 讨论 。 本 章 重点 在 于 自动 网 络 管理 系统 中 可 用 的 内 部 表示 
问题 。 我 们 将 讨论 及 时 性 的 问题 ， 即 内 部 表示 是 否 可 以 频繁 更 新 ， 以 便 能 满足 管理 任务 的 需要 。 
另外 ， 本 章 将 讨论 信息 建 模 技术 与 建议 的 模型 ， 该 模型 有 助 于 创建 未 来 管理 系统 。 后 面 的 几 音 将 
讨论 设计 的 权衡 与 研究 的 问题 。 | 


16.2 管理 软件 的 数据 


当 计算 机 软件 执行 计算 时 ， 它 要 使 用 程序 内 部 〈 保 存在 内 存 中 ) 的 数据 值 。 因 此 ， 执 行 网 
络 管理 的 软件 系统 需要 获得 数据 ， 这 些 数据 对 应 于 网 络 中 的 某 些 条 件 。 管 理 软件 遵循 下 面 的 基 
本 范 型 

。 从 底层 元 素 导 和 人 有 关 网 络 的 信息 ， 这 些 信 息 被 保存 在 内 存 中 。 

。 使 用 这 些 导 和 的 信息 来 执行 必要 的 计算 。 

© 问 管 理 者 显示 计算 结果 或 向 基本 网 络 元 素 导 出 结果 。 

关键 点 总 结 如 下 : 


由 于 计算 机 软件 只 能 处 理 保存 在 内 存 中 的 数据 项 ， 因 此 网 络 管理 系统 必须 从 底层 元 素 





导入 信息 ， 并 将 结果 导出 到 底层 元 素 与 管理 者 的 显示 部 分 。 


16.3 数据 表示 的 问题 


在 前 面 关 于 体系 结构 的 讨论 中 ， 描 述 了 网 络 元 素 与 管理 系统 之 间 的 双向 信息 流 : 北向 数据 
流 包含 从 某 个 网 络 元 素 到 管理 系统 的 信息 ， 南 向 数据 流 包含 从 管理 系统 到 网 络 元 素 的 信息 。 但 
是 ， 这 个 讨论 并 没有 涉及 细节 。 因 此 ， 出 现 了 两 个 基本 问题 : 

。 哪些 信息 需要 与 其 他 实体 交换 ? 

。 这 些 信息 应 如 何 表示 ? 

1) 交换 信息 : 从 本 质 上 来 说 ,管理 系统 的 功能 与 在 系统 与 网 络 元 素 之 间 交 换 的 信息 有 关 。 
管理 系统 可 用 的 信息 决定 了 系统 的 范围 与 限制 9。 

通常 来 说 ， 导 入 信息 定义 了 一 组 管理 系统 可 以 监视 的 项 ， 导 出 信息 定义 了 一 组 系统 可 以 控 
制 的 项 。 对 于 导入 信息 ， 除 非 从 底层 元 素 得 到 性 能 与 流量 的 数据 ， 否 则 管理 系统 无 法 评价 网 络 性 
能 。 与 此 类 似 ， 除 非 从 每 个 系统 获得 事件 ， 管 理 系统 无 法 从 多 个 网 络 元 素 中 判断 错误 来 源 。 对 于 
导出 信息 ， 路 由 控制 要 求 管理 系统 能 够 更 新 转发 表 。 


O 信息 可 以 在 不 同 支 持 系统 (例如 用 于 认证 的 RADIUS 服务 器 ) 之 间 交 换 。 
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除了 限制 功能 选项 的 改变 可 以 增强 管理 系统 的 灵活 性 。 理 解 限 制 功能 需要 考虑 做 出 选择 的 
时 间 。 尽 管 限制 功能 可 以 提高 效率 ， 但 尽早 〈 在 系统 被 设计 与 实现 之 前 ) 选择 一 组 项 是 有 局 限 
性 的 。 在 系统 创建 以 后 进行 选择 会 增加 灵活 性 ， 但 是 也 会 导致 实现 的 效率 更 低 。 

这 点 可 以 归纳 如 下 : 


管理 系统 可 以 与 底层 网 络 元 素 交 换 的 项 组 决定 了 系统 的 功能 ; 选择 项 组 的 时 间 决 定 了 


系统 的 灵活 性 。 





我 们 将 在 后 面 几 节 中 继续 讨论 灵活 性 的 问题 ， 目 前 只 了 解 基本 概念 就 足够 了 。 

2) 信息 表示 ; 表示 的 问题 看 起 来 只 是 一 个 实现 细节 ， 而 与 系统 的 总 体 设 计 无 关 。 但 是 ， 我 
们 注意 到 ， 选 择 表示 方法 与 总 体 架 构 、 设 计 效率 都 有 关系 。 

自动 网 络 管理 系统 必须 导 人 根据 来 源 定义 的 两 类 信息 : 

。 由 管理 员 人 工 输入 的 信息 (例如 一 组 策略 ) ， 管 理 系统 使 用 它 对 整体 行为 做 出 决策 。 

。 从 网 络 元 素 处 获得 的 信息 ， 用 于 获得 网 络 的 当前 状态 。 

由 于 这 两 类 信息 的 来 源 不 同 ， 它 们 的 表示 方法 通常 也 会 不 同 。 例 如 ， 策 略 信息 通常 以 某 种 形 
式 来 保存 ， 它 适合 于 管理 员 输 入 与 读 取 。 有 关 网 络 当 前 状态 的 信息 来 自 于 底层 网 络 元 素 。 因 此 ， 
这 种 信息 以 有 效 的 二 进 制 形式 产生 。 没 有 哪 种 形式 会 适合 所 有 管理 数据 ， 每 种 形式 在 不 同 环境 
中 有 自己 的 优点 。 

管理 系统 在 某 些 层次 必须 处 理 多 种 数据 表示 方法 ， 这 是 由 于 管理 信息 来 源 于 多 种 形式 。 我 
们 可 以 归纳 如 下 : | 


由 于 一 些 管 理 信息 是 由 人 工 输入 ， 而 另 一 些 信息 来 源 于 网 络 元 素 ， 因 此 管理 系统 需要 


适应 多 种 表示 方法 。 





后 面 几 节 将 讨论 多 种 输入 表示 方法 带 来 的 后 果 : 需要 在 不 同 表示 方法 之 间 的 转换 。 这 里 ,我 
们 只 是 讨论 内 部 表示 方法 的 问题 ， 并 假设 系统 可 以 将 任意 输入 表示 转换 为 所 需 的 内 部 形式 。 


16.4 ”内 部 表示 与 编程 语言 


数据 表示 方式 选择 的 关键 问题 是 应 用 如 何 利用 数据 。 在 理想 的 情况 下 ， 可 以 找到 一 种 一 致 
的 、 统 一 的 内 部 表示 方法 ， 并 可 以 适用 于 所 有 的 管理 功能 。 理 想 的 内 部 表示 方法 应 该 : 

e 提供 一 种 适 于 所 有 管理 数据 的 格式 ， 包括 通过 网 络 元 素 收集 的 状态 信息 。 

e 使 保存 管理 信息 的 空间 最 小 。 

e 为 管理 应 用 程序 提供 方便 、 有 效 的 数据 形式 。 

实际 上 ， 没 有 哪 种 表示 方法 能 满足 上 述 3 个 目标 。 因 此 ， 选 择 数 据 表示 方式 时 要 进行 折衷 ， 
设计 者 必须 决定 哪些 目标 达到 最 优 ， 哪 些 可 以 让 步 。 

第 3 个 目标 (表示 方法 要 适用 于 应 用 程序 ) 特别 难于 优化 ， 这 是 由 于 方便 与 有 效 性 依赖 于 
编程 语言 与 编程 范 型 。 例 如 ， 用 C 语言 编写 的 程序 使 用 数组 (array) 与 结 吉 构 (struct) 作为 基本 
数据 集合 ,用 C++ 与 Java 语言 编写 的 程序 使 用 对 象 保存 数据 。 ARLAN F : 


由 于 有 多 种 编程 语言 与 范 型 存在 ， 没 有 哪 种 内 部 表示 方法 适用 于 所 有 环境 ， 需 要 做 的 


选择 是 进行 折衷。 
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16.5 编程 范 型 的 表示 效果 


除了 编程 语言 之 外 ， 设计 者 必须 选择 基本 的 编程 范 型 ， 这 个 选择 会 影响 数据 表示 方法 的 选 
择 。 例 如 ， 图 16-1 列 出 了 一 组 编程 范 型 与 使 用 它们 的 技术 。 

除了 定义 一 种 访问 机 制 ， 很 多 编程 范 型 指明 相应 的 数据 表示 方法 。 例 如 ，SNMP MIB 为 一 组 
MIB 变量 定义 了 类 型 、 大 小 与 食 义 。 


编程 范 型 | 技术 的 例子 


基于 OMG 的 Internet Orb 交换 协议 (IOP) 
Java 远程 方法 调用 (RMI) 


SNMP 管理 信息 库 (MIB ) 
查询 语言 (SQL) 
图 16-1 一 组 编程 范 型 与 使 用 它们 的 技术 的 例子 


面向 服务 架构 《SOA)》 被 建议 用 来 解决 数据 表示 与 通信 技术 之 间 的 关系 。SOA 通常 提供 了 
一 组 定义 ， 用 来 完成 一 个 任意 转换 (RMI 或 IOP)。 这 点 总 结 如 下 : 





数据 表示 与 编程 方式 的 选择 并 不 是 独立 的 。 





也 就 是 说 ， 编 程 方式 或 技术 的 选择 会 限制 数据 表示 的 选择 ， 数 据 表示 的 选择 也 会 限制 编程 
范 型 的 选择 。 在 下 一 节 的 内 容 中 ， 数 据 表示 与 编程 范 型 将 会 与 面向 对 象 的 技术 结合 起 来 。 
16.6 对象 与 基于 对 象 的 表示 / 

面向 对 象 语言 (例如 Java 与 Ct+ ) 使 用 了 一 种 范 型 ， 它 们 将 数据 与 操作 都 收集 到 对 象 ob- 
ject) 中 。 一 个 对 象 包括 带 有 一 组 方法 的 一 组 数据 项 ， 可 以 调用 这 组 方法 来 对 数据 进行 操作 。 


尽管 管理 系统 带 给 我 们 一 个 印象 ， 系 统 负责 维护 数据 而 应 用 很 少 实现 转换 ， 这 样 做 会 带 来 
应 用 与 管理 系统 的 松 耦 合 。 这 一 点 可 归纳 如 下 ， 


为 了 维护 与 面向 对 象 应 用 的 紧 耦 合 ， 管 理 系统 必须 提供 管理 数据 的 基于 对 象 的 表示 方 





法 。 


在 考虑 面向 对 象 接口 时 出 现 了 几 个 问题 。 在 本 质 上 ， 由 于 多 种 应 用 与 网 络 管理 系统 共享 数 
据 ， 因 此 对 象 的 细节 对 它们 都 会 有 影响 。 如 果 一 个 面向 对 象 的 抽象 扩展 到 底层 元 素 ， 则 设计 者 需 
要 考虑 : | | 

。 每 个 对 象 中 的 成 组 的 数据 项 。 

e 一 个 对 象 提供 的 成 组 的 方法 。 

。 用 于 表示 对 象 、 数 据 与 方法 的 名 字 。 


16.7 ”对象 表示 与 类 层次 结构 


围绕 面向 对 象 接口 的 一 个 基本 选择 涉及 类 层次 结构 (class hierarchy) 的 组 织 。 与 一 个 面向 
过 程 的 接口 不 同 ， 面 回 对 象 设 计 将 对 象 定 义 在 一 个 抽象 的 层次 结构 中 。 在 层次 结构 的 较 低 层次 
定义 的 类 包括 更 多 细节 。 这 种 类 就 是 通常 所 说 的 子 类 (subclass) 。 人 例如， 设计 者 需要 选择 创建 一 
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AR; 
NetElemConfig 

它 定义 了 所 有 网 络 元 素 中 的 配置 参数 ， 并 且 可 以 选择 创建 两 个 子 类 : 
RouterConfig 

与 . 
SwitchConfig 


它们 分 别 定义 了 路 由 器 与 交换 机 (两 类 特定 的 网 络 元 素 ) 的 相关 细节 。 

正如 我 们 所 看 到 的 ， 创 建 任意 类 层次 结构 的 能 力 为 面向 对 象 的 表示 带 来 了 额外 的 自由 。 特 
别 是 ， 设 计 者 必须 为 每 个 类 选择 概念 范围 ， 它 依赖 于 设计 者 预想 的 基本 抽象 。 下 面 几 节 将 会 讨论 
更 多 的 细节 


16.8 持久 性 、 关 系 与 数据 库 表示 


围绕 数据 表示 选择 的 一 个 基本 问题 集中 在 数据 的 持久 性 。 这 就 带 来 了 两 个 问题 : 

。 管理 系统 是 否 需要 将 管理 信息 保存 在 非 易 失 性 存储 器 中 ? 

。 如 果 需 要 保存 ， 应 该 使 用 哪 种 表示 方法 ? 

针对 第 一 个 问题 ， 很 明显 有 一 些 信息 需要 持久 保存 ， 以 免 由 于 系统 重启 或 电源 故障 而 丢失 。 
例如 ， 对 管理 策略 的 描述 应 该 保持 一 直 不 变 。 有 趣 的 是 ， 有 些 从 网 络 中 收集 的 数据 与 网 络 管理 系 
统 生成 的 信息 也 需要 保存 。 例 如 ， 保 存在 高 速 缓存 中 近期 的 事件 与 存储 器 中 的 流量 数据 ， 它 们 可 
以 帮助 管理 员 在 故障 发 生 时 进行 诊断 。 

针对 第 二 个 问题 ， 有 两 类 选择 可 用 于 可 持续 存储 ， 而 表示 方法 依赖 于 所 做 的 选择 : 

。 应 用 创建 的 并 写 人 磁盘 中 的 文件 

。 保存 在 通用 数据 库 中 的 记录 

文件 的 主要 优点 是 通用 性 与 灵活 性 : 不 需要 将 所 有 数据 强制 保存 为 一 种 形式 (例如 关系 数 
据 库 中 的 关系 ) ， 每 种 应 用 可 以 选择 合适 的 数据 格式 与 表示 方法 。 通 用 数据 库 的 主要 优点 是 分 布 
容易 且 数 据 统一 。 由 于 被 设计 成 在 分 布 式 环境 中 运行 ， 因 此 现代 关系 数据 库 系统 能 很 好 地 处 理 
远程 访问 与 数据 一 致 性 。 因 此 ， 很 多 专家 将 关系 数据 库 技 术 视 为 持久 性 存储 的 基础 。 决 定性 因素 
是 通用 数据 库 增 强 了 数据 的 关系 视图 与 数据 结构 明确 ， 以 便 为 管理 数据 提供 单一 的 、 统 一 的 表 
示 ， 而 不 必 依赖 于 某 种 具体 的 应 用 。 

这 点 可 归纳 如 下 : 


尽管 一 个 管理 系统 可 以 用 文件 保存 持久 信息 ， 通 用 的 关系 数据 库 是 更 常见 的 选择 ; 当 





使 用 一 个 数据 库 时 ， 数 据 必须 表示 为 与 数据 库 模 式 相 关联 的 记录 。 


16.9 在 不 同 点 与 时 间 的 表示 

尽管 上 面 讨论 了 表示 管理 数据 的 可 选 方式 ， 但 实际 系统 可 能 需要 多 种 表示 方法 。 需 要 注意 
的 是 ， 用 于 管理 系统 中 不 同 点 的 表示 方法 可 以 不 同 。 例 如 ， 当 系统 为 管理 员 显 示 信 息 时 ， 它 必须 
选择 一 种 适合 于 人 类 的 表示 方法 ; 当 系 统 与 网 络 元 素 进 行 交 互 时 ， 它 必须 使 用 元 素 要 求 的 表示 


”在 关于 面向 对 象 编程 的 最 近 的 观点 中 ， 一 方面 要 尝试 克服 由 类 层次 结构 带 来 的 限制 ， 另 一 方面 要 定义 可 以 关联 
到 任意 类 的 行为 。 
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方法 。 因 此 ， 最 优 的 表示 方法 依赖 于 管理 系统 中 某 点 使 用 的 信息 。 系 统 中 点 集合 主要 包括 : 

e 在 网 络 元 素 的 内 存 中 。 

© 在 元 素 与 管理 系统 之 间 传 输 时 。 

e 在 管理 系统 的 内 存 中 。 

s 在 特定 的 管理 应 用 的 内 存 中 。 

© 在 持久 性 存储 器 中 。 

。 在 管理 员 的 显示 系统 中 。 

正如 我 们 上 面 所 讨论 的 那样 ， 表 示 方 法 也 可 以 依赖 于 保存 的 信息 类 型 。 例 如 ， 用 于 保存 从 网 
络 元 素 获得 信息 的 表示 方法 与 用 于 保存 策略 的 表示 方法 不 同 。 更 重要 的 是 ， 用 于 保存 大 量 信息 
(例如 流 数据 ) 的 表示 方法 ， 与 用 于 保存 单个 数据 项 (例如 对 不 应 发 生 事件 的 报警 记录 ) 的 表示 
方法 不 同 。 

我 们 可 以 概括 如 下 : 


由 于 没有 哪 种 数据 表示 方法 能 满足 所 有 目标 ， 或 管理 系统 中 所 有 位 置 ， 因 此 ， 我 们 可 


以 在 一 个 复杂 管理 系统 中 采用 多 种 表示 方法 ， 并 在 不 同 表示 方法 之 间 进 行 必要 的 
转换 。 





16.10 ”表示 方法 之 间 的 转换 


为 了 理解 数据 表示 之 间 的 转换 ， 我 们 可 以 看 一 下 几 个 例子 : 

e 标量 变量 的 值 (SNMP) 

KA (SURE) 

。 对 象 (管理 应 用 ) 

尽管 不 同 表 示 方 法 之 间 有 显著 的 区 别 ， 但 是 进行 转化 时 要 保存 语义 的 值 。 另 外 ， 为 了 使 系统 
更 有 效率 ， 转 换 不 能 使 用 大 量 的 处 理 或 内 存 。 我 们 将 数据 转换 的 期 望 特点 总 结 如 下 : 

© 从 CPU 与 内 存 使 用 效率 角度 考虑 计算 效率 

o 数学 上 的 1-to-1 

© 容易 与 唯一 的 可 道 

o 语义 保持 

© 限制 大 小 的 线性 增长 

大 多 数 的 特点 是 明显 的 。 例 如 ， 第 二 与 第 三 项 保证 一 个 转换 是 无 二 义 性 的 ， 并 且 管 理 系统 可 
以 实现 双向 的 转换 。 我 们 将 会 在 后 面 考虑 语义 。 最 后 一 项 给 出 了 可 用 项 的 相对 大 小 ， 转 换 需要 保 
证 数据 项 的 大 小 不 会 显著 增长 。 尽 管 有 些 表示 方法 比 其 他 方法 需要 更 多 空间 ， 但 转换 后 值 的 大 
小 应 为 原始 值 的 线性 倍数 ， 并 且 这 个 倍数 应 该 很 小 。 


16.11 异 构 与 网 络 传 输 


通过 网 络 传 输 一 个 值 〈 在 网 络 元 素 与 管理 系统 或 位 于 两 个 网 络 的 管理 系统 之 间 传 输 ) 带 来 
数据 表示 方法 的 问题 。 尽 管 数据 传输 看 起 来 琐碎 ， 但 是 两 个 特点 使 它 难以 实现 : 数据 类 型 编码 与 
异 构 。 


1) 数据 类 型 编码 : 传输 协议 (例如 TCP) 采用 字 节 流 范 型 : 尽管 允许 成 对 的 应 用 通过 网 络 


或 Internet 传输 字 节 序列 ,但 是 协议 并 不 对 流 的 内 容 进 行 解释 ， 进 行 通信 的 应 用 需要 就 数据 编码 
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达成 一 致 。 

在 项 的 大 小 或 类 型 可 变 的 情况 下 ， 编 码 对 于 这 些 项 来 说 特别 重要 。 例 如 ， 在 传输 一 个 字符 串 
时 ， 发 送 方 与 接收 方 需要 就 字符 串 的 长 度 达 成 一 致 。 发 送 方 需要 预先 规划 元 数据 ， 并 指定 每 项 的 
类 型 与 大 小 。 在 有 些 情况 下 ， 应 用 必须 将 数据 与 元 数据 都 转换 成 传输 的 字 节 流 。 我 们 说 数据 经 过 
了 冲 行 化 〈serialized)”。 关 键 是 得 到 需要 传输 的 数据 如 何 表 示 的 细节 ， 这 是 由 于 串 行 化 方案 决 
定 哪些 数据 项 可 以 被 传输 。 例 如 ， 应 用 可 以 只 传输 复杂 的 数据 结构 ， 例 如 和 矩阵、 结构 与 对 象 ， 这 
些 结构 必须 是 串 行 化 方式 所 提供 的 项 。 

我 们 可 以 概括 如 下 : | 


数据 传输 的 囊 行 化 方式 决定 了 管理 系统 可 以 通过 网 络 传输 的 数据 值 的 类 型 。 





2) FA: 很 多 大 型 网 络 系统 包含 多 种 网 络 元 素 与 来 自 多 个 硬件 广 商 的 服务 器 系统 。 其 结果 是 
硬件 使 用 的 数据 表示 方法 不 同 ， 这 意味 着 软件 难以 将 数据 项 从 一 个 系统 拷贝 到 另 一 个 系统 。 令 人 惊 
讶 的 是 ， 基 本 数据 项 (例如 整数 或 字符 ) 也 可 以 不 同 。 例如， 有 些 硬件 使 用 big-endian (高 端 字 节 
F) 方式 表示 整数 ， 即 在 低 内 存 地 址 存储 最 重要 的 位 ; 有 些 硬件 使 用 little- endian 方式 表示 整数 ， 
即 在 低 内 存 地址 .存储 最 不 重要 的 位 。 男 外 ， 数 据 项 的 容量 可 以 不 同 : 有 些 系统 使 用 32 位 整数 ， 另 
一 些 系统 使 用 64 位 整数 。 需 要 注意 的 是 ， 只 有 串 行 化 方案 并 不 能 保证 数据 传输 正确 。 

我 们 可 以 概括 如 下 ， 


由 于 基本 数据 项 〈 例 如 整数 ) 的 大 小 依赖 于 基本 硬件 ， 并 且 一 个 大 型 网 络 通常 包含 来 


自 多 个 厂商 的 硬件 ， 因 此 网 络 管理 系统 不 能 假设 一 个 系统 的 本 地 数据 值 可 以 传输 到 另 
一 个 系统 。 
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正如 我 们 所 看 到 的 ， 通 过 网 络 传输 包括 两 个 方面 : 语法 编码 即 串 行 化 ) 与 语义 保持 。 本 
章 后 面 的 部 分 将 考虑 语义 的 问题 ， 本 节 则 关注 语法 方面 。 | 

即使 我 们 不 注意 串 行 化 的 语法 ， 在 这 方面 也 会 产生 几 个 问题 。 例 如 ， 正 如 上 面 所 提 到 的 ， 只 
是 发 送 一 系列 的 位 是 不 够 的 ， 需 要 制订 编码 以 确定 每 项 的 开始 与 结束 。 另 外 ， 理 想 的 串 行 化 机 制 
应 允许 传输 任意 的 元 数据 。 特 别 是 要 消除 二 义 性 并 允许 接收 方 进行 确认 ， 每 项 都 可 以 得 到 名 字 
与 类 型 。 

可 扩展 标记 语言 (eXtensible Markup Language, XML) 已 经 成 为 一 种 流行 的 串 行 化 技术 。 
XML 具有 吸引 力 的 主要 特点 是 易于 扩展 ， 数 据 项 可 以 用 XML 格式 编码 而 不 必 改 变 基础 语言 。 
XML 支持 接收 方 对 串 行 化 的 流 进行 分 析 ， 并 从 中 准确 提取 所 有 项 。 当 然 ， 数 据 的 值 对 接收 方 没 
有 意义 ， 除 非 接收 方 可 以 理解 这 些 项 的 语义 。 

XML 的 主要 缺点 是 它 使 用 文本 编码 ” 。XML 将 数据 的 值 编码 成 文本 ， 而 不 是 编码 成 紧 次 的 
二 进 制 格式 进行 发 送 。 因 此 ，XML 不 是 使 用 位 ， 而 是 将 每 个 整数 编码 成 一 串 数 字 。 编 码 与 解码 
带 来 了 处 理 上 的 开销 ， 使 用 文本 表示 方法 意味 着 结果 比 必要 的 值 大 编码 带 来 不 必要 的 传输 开 
销 ) 。 最 后 ， 设 计 者 必须 在 扩展 性 与 低 开 销 之 间 进 行 选择 。 


O 有 些 作者 使 用 的 术语 是 线性 化 。 
@ ”二进制 编码 的 使 用 已 经 进行 了 讨论 并 提出 建议 但 是 目前 还 没有 二 进 制 编码 标准 。 
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我 们 可 以 概括 如 下 : 


尽管 XML 这 类 技术 提供 了 很 好 的 扩展 性 ， 但 是 其 他 串 行 化 技术 可 以 提供 低 的 计 工 与 


传输 开销 。 





16. 13 语义 规定 的 需求 


由 于 网 络 管理 系统 必须 收集 、 分 析 与 归纳 来 自 底 层 网 络 元素 的 数据 ， 设 计 者 必须 保证 解释 
后 的 数据 值 在 通过 整个 系统 的 过 程 中 不 变 。 我 们 使 用 数据 语义 (data semantics) 这 个 词 来 描述 数 
据 项 的 含义 。 除 了 数据 类 型 (例如 整数 ) 之 外 ,语义 包含 取 值 的 范围 (例如 0 到 2" -1) 与 该 
项 的 解释 (例如 系统 启动 后 接收 数据 包 的 数量 ) 。 

正如 我 们 所 看 到 的 ， 保 证 语义 的 绝对 一 致 是 很 困难 的 ， 特 别 是 在 一 个 包含 异 构 硬 件 的 大 型 
网 络 中 。 因 此 ， 设 计 者 面临 的 一 个 挑战 是 对 数据 语义 的 精确 规定 ， 并 且 能 在 大 多 数 人 硬件 上 有 效 地 
实现 。 特 别 是 要 保证 正确 性 ， 数 据 语义 规定 需要 超越 不 同 的 编程 语言 与 硬件 机 制 。 


16. 14 语义 有 效 性 与 全 局 不 一 致 性 


应 如 何 规 定数 据 语 义 ? 主要 有 两 类 方法 。 第 一 类 方法 依赖 于 人 工 创建 与 遵循 语义 规定 ， 而 第 
二 类 方法 使 用 的 是 自动 工具 。 对 于 人 工 方法 ， 设 计 者 规定 了 每 个 数据 项 的 语义 ， 并 且 要 在 实现 软 
件 时 遵循 这 个 规定 。 如 果 有 不 精确 的 规定 或 实现 上 的 错误 ， 将 会 导致 系统 中 两 个 或 多 个 部 分 对 
给 定数 据 值 应 用 不 同 解 释 。 但 是 ， 最 重要 的 问题 来 日 于 规定 : 


如 果 每 个 数据 项 的 语义 都 独立 规定 ， 即 使 每 个 数据 的 值 都 有 效 ， 也 会 导致 解释 后 的 值 





无 效 。 


我 们 通过 一 个 例子 来 理解 问题 的 原因 。 假 设 一 个 网 络 元 素 有 两 个 或 更 多 的 物理 网 络 接口 ， 
并 且 每 个 接口 都 有 一 个 MAC 地址。 进一步 假设 值 的 语义 为 : 一 个 无 符号 8 位 整数 计数 器 ， 用 于 
保存 物理 接口 号 〈 值 的 范围 为 0~255); 一 个 48 位 整数 值 ， 用 于 保存 每 个 接口 的 MAC 地 址 。 假 
设 接口 4 的 MAC 地 址 为 十 六 进 制 值 0xff0310de1504。 同 样 ， 假设 接口 计数 占 的 值 为 3。 由 于 每 个 
值 在 数据 项 的 可 用 范围 内 ， 因 此 每 个 值 都 遵循 了 语义 规则 。 如 果 一 个 设备 只 有 3 个 接口 ， 则 将 
MAC 地 址 分 配给 第 4 个 接口 没有 意义 。 因 此 ， 尽 管 每 个 数据 值 都 遵循 霹 义 规则 ， 但 处 理 后 的 值 
也 可 能 在 全 局 上 无 效 。 


16.15 ”信息 模型 与 模型 驱动 设计 


设计 者 如 何 保 证 数据 项 在 一 个 大 型 的 、 分 布 式 系统 中 的 一 致 性 ?正如 我 们 前 面 所 说 的 ， 关 键 
在 于 设计 一 种 对 信息 的 精确 规定 ， 这 个 规定 独立 于 各 种 软件 ， 并 且 使 用 它 来 开发 与 验证 管理 系 
统 的 各 个 部 分 。 理 想 的 规定 为 : 

。 用 于 整个 系统 而 不 是 其 中 的 某 个 部 分 

o 规定 数据 项 的 各 个 方面 (例如 名 字 、 类 型 与 语义 ) 

© 包括 一 个 数据 的 值 之 间 关 系 的 规定 

软件 工程 师 使 用 信息 模型 (information model) 这 个 术语 来 描述 一 个 遵循 上 述 规则 的 规范 ， 
使 用 模型 驱动 设计 (model-driven design) 这 个 术语 来 描述 构造 软件 的 过 程 ， 它 从 信息 模型 开始 


294| 
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并 通过 该 模型 来 创建 软件 。 

有 些 软件 工程 师 增 加 了 额外 的 标准 ， 以 使 信息 模型 适应 自动 分 析 、 验 证 与 操作 的 需要 。 也 就 
是 说 ， 这 个 额外 的 标准 除了 坚持 由 人 类 来 使 用 外 ， 信 息 模 型 也 可 以 由 程序 开发 者 或 其 他 工具 使 
用 。 例 如 ， 如 果 模 型 采用 适 于 自动 分 析 的 形式 保存 ， 就 有 可 能 创建 工具 来 检查 模型 以 验证 定义 的 
一 致 性 。 这 点 可 归纳 如 下 : 





如 果 一 个 信息 模型 以 精确 的 方式 表示 ， 则 可 以 创建 工具 来 验证 模型 的 内 部 一 致 性 。 





有 些 建 模 组 织 的 成 员 持 有 极端 的 看 法 : 由 于 自动 软件 的 产生 而 带 来 错误 的 目标 ， 他 们 认为 
信息 模型 可 以 解决 所 有 的 软件 工程 问题 。 他 们 断言 ， 如 果 信 息 模型 可 以 提供 处 理 的 所 有 细节 ， 就 
可 以 通过 创建 工具 来 将 一 个 模型 作为 输入 ， 并 产生 一 个 正确 的 、 可 靠 的 、 有 效 的 软件 系统 作为 输 
出 。 因 此 ， 他 们 断言 除了 定义 数据 值 的 细节 ， 模 型 还 应 该 包含 处 理 过 程 的 细节 与 人 们 期 望 的 交互 
过 程 。 

相反 的 观点 认为 ， 尽 管 模型 可 以 帮助 程序 员 理 解 问题 并 制定 解决 方案 ， 也 可 以 在 创建 程序 
的 初始 阶段 帮助 程序 员 处 理 一 些 琐碎 任务 ,但 是 没有 哪个 模型 足以 生成 自动 软件 。 他 们 断言 ， 一 
旦 模型 中 包含 处 理 过 程 的 所 有 细节 ， 则 模型 将 会 变 得 与 软件 难以 区 分 。 也 就 是 说 ， 当 模型 中 包含 
足够 的 细节 以 便 为 一 个 大 型 、 复 杂 的 软件 系统 生成 代码 时 ， 则 模型 自身 也 会 变 得 很 大 与 很 复杂 ， 
在 模型 开发 中 将 会 遇 到 与 软件 开发 相关 的 所 有 问题 。 

目前 ， 没 有 证 据 显 示 模 型 比 其 他 工具 对 自动 软件 生成 更 有 帮助 ， 并 且 看 起 来 这 些 证 据 不 只 
是 表面 上 的 。 因 此 ， 我 们 可 以 概括 如 下 : 


信息 模型 是 一 个 可 以 帮 程 序 员 理解 问题 与 制定 解决 方案 的 工具 ; 认为 模型 可 以 完成 自 


动 软件 生成 的 观点 并 没有 依据 。 





16.16 ”信息 与 数据 模型 


正如 我 们 所 看 到 的 ， 信 息 模型 是 面向 对 象 的 。 面 向 对 象 建 模 与 两 种 软件 系统 密切 相关 ， 它 们 
由 面向 编程 语言 实现 或 要 导出 面向 对 象 的 接口 。 模 型 可 以 帮助 程序 员 从 概念 上 理解 整体 结构 ， 
并 且 在 编码 之 前 选择 好 对 象 体系 结构 。 但 是 ， 面 向 对 象 模 型 的 最 终 目 标 不 只 是 模糊 的 结构 规定 ， 
模型 可 以 包含 足够 细节 以 使 用 其 中 的 定义 来 创建 系统 。 

建 模 的 第 二 种 形式 是 众所周知 的 数据 模型 (data modeling ) ， 规 定 在 内 存 或 可 持续 存储 中 的 
数据 格式 。 数 据 模型 通常 是 关系 型 的 〈relational) ， 关 系 模 型 的 最 终 目 标 是 关系 型 数据 库 方案 ， 
它 用 来 描述 数据 项 的 存储 与 检索 。 另 外 ， 数 据 模 型 可 以 规定 数据 项 之 间 的 语义 关系 〈 例 如 地 址 
记录 中 的 zip 码 与 记录 中 的 城市 、 省 份 相 关联 ) 。 当 然 ， 数 据 模 型 不 能 只 是 归 类 数据 与 规定 语义 
约束 ， 还 要 规定 可 用 于 处 理 过 程 的 具体 形式 。 因 此 ， 数 据 模型 不 仅 要 记录 数据 项 ， 还 要 规定 预期 
的 操作 或 查询 。 

我 们 在 后 面 的 几 节 中 将 会 看 到 ， 信 息 模 型 与 数据 模型 并 不 互相 排斥 。 如 果 使 用 面向 对 象 纺 
程 语言 来 实现 一 个 软件 系统 ， 则 系统 可 以 使 用 一 个 关系 数据 库 作 为 持久 性 存储 。 因 此 ， 系 统 也 需 
要 一 个 数据 模型 。 更 重要 的 是 ， 两 个 模型 之 间 的 交互 决定 了 系统 规模 与 访问 效率 。 

我 们 可 以 概括 如 下 ， 
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为 了 创建 一 个 面向 对 象 的 信息 模型 ， 设 计 者 需要 创建 一 个 关系 数据 模型 ， 以 规定 数据 


如 何 映射 到 持久 性 存储 。 两 个 模型 之 间 的 交互 影响 整体 效率 与 性 能 。 





16. 17 面向 对 象 模型 的 类 层次 结构 

如 何 构 造 一 个 用 于 网 络 管理 的 面向 对 象 信息 模型 ? 关键 在 于 类 层次 结构 的 选择 。 设 计 者 可 
以 设想 一 个 单一 的 、 全 局 的 层次 结构 ， 它 包括 网 络 管理 信息 的 所 有 方面 ， 或 是 多 个 在 概念 上 独立 
的 体系 结构 。 例 如 ， 我 们 可 以 设想 一 个 类 结构 ， 它 符合 图 16-2 定义 的 FCAPS 模型 。 








图 16-2 遵循 FCAPS 模型 的 类 层次 结构 顶层。 每 个 矩形 表示 一 个 类 ， 箭 头 表示 子 类 关系 
尽管 FCAPS 提供 了 一 种 表示 网 络 管理 问题 的 简便 方法 ， 但 它 并 不 是 一 种 描述 管理 软件 结构 
的 方式 。 因 此 ， 用 FCAPS 作为 信息 模型 的 基础 ， 并 不 能 为 实际 管理 系统 生成 一 种 最 佳 结 构 。 
目前 已 有 很 多 体系 结构 ， 并 且 其 中 几 种 可 用 于 自动 管理 系统 。 模 型 可 以 被 设计 成 反映 网 络 


人 硬件 结构 的 层次 化 信息 ， 一 个 模型 也 可 以 从 一 组 被 执行 的 管理 任务 中 得 到 。 例 如 ， 图 16-3 给 出 . 


了 一 种 基于 硬件 的 体系 结构 。 

图 中 的 顶层 (体系 结构 的 根 ) 被 标记 为 网 络 系统 ， 它 用 来 表示 网 络 设备 的 层次 模型 。 每 个 
子 类 对 应 于 一 种 设备 〈 例 如 交换 机 、 路 由 器 与 Modem)。 下 面 的 层次 用 于 区 分 给 定 类 型 的 设备 。 
例如 ， 政 由 器 的 子 类 可 包括 核心 路 由 器 、 接 入 路 由 器 与 无 线路 由 器 。 





图 16-3 基于 网 络 硬件 的 类 层次 结构 顶层 


路 由 器 子 类 也 可 以 按 使 用 它们 的 组 织 来 划分 : 服务 提供 商 的 路 由 器 、 企 业 的 路 由 器 与 消费 
者 的 路 由 器 。 在 有 些 情 况 下 ， 所 有 类 型 的 路 由 器 通用 的 数据 项 规定 在 路 由 器 类 中 ; 每 种 类 型 的 路 
由 器 特有 的 数据 项 规定 在 子 类 中 。 因 此 ， 至 少 要 有 一 个 唯一 数据 项 时 才 需 要 子 类。 否则 ， 所 有 数 
据 项 都 属于 父 类 ， 则 子 类 就 会 是 空 的 ” 。 

有 可 能 出 现 其 他 的 变化 。 例 如 ， 不 是 通过 设计 模型 描述 网 络 硬件 ， 而 是 通过 创建 更 大 范围 的 
扩展 到 所 有 计算 机 硬件 的 层次 结构 来 描述 ， 并 将 网 络 系统 构成 一 个 子 类 。 作 为 一 种 选择 ， 不 是 将 


© 在 有 些 情况 下 ， 添 加 子 类 是 用 于 占据 位 置 或 保持 对 称 。 术 语 moniker 用 于 表示 这 种 子 类 。 
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层次 结构 限制 在 网 络 硬件 设备 ， 而 是 可 以 围绕 网 络 元 素 构 成 层次 结构 (包括 硬件 与 软件 部 分 ， 
例如 服务 器 ) 。 
这 点 可 以 归纳 如 下 : 


组 织 管理 信息 可 以 根据 要 解决 的 问题 或 基本 功能 进行 组 织 。 每 种 组 织 方式 都 会 有 变 


化 ， 因 此 很 多 信息 模型 都 是 可 能 的 。 





16. 18 多 层次 结构 


尽管 上 述 例子 说 明 的 模型 都 包含 一 种 层次 结构 ， 但 是 也 可 以 定义 一 种 使 用 多 个 独立 的 类 层 
次 结构 的 模型 。 例 如 ， 一 个 模型 将 信息 分 为 两 个 独立 的 层次 结构 ， 一 个 层次 结构 描述 网 络 元 素 ， 
男 一 个 层次 结构 描述 可 以 配置 与 操作 的 服务 。 图 16-4 说 明了 这 个 概念 。 


网 络 服务 









图 16-4 对 应 被 管理 的 网 络 元 素 与 服务 的 类 层次 结构 顶层 


多 体系 结构 的 优点 是 可 以 关注 与 问题 相关 的 信息 的 某 个 方面 ， 而 不 必 关 心 那 些 无 关 的 信息 。 
在 单 层 次 结构 的 模型 中 ， 两 项 之 间 的 间隔 可 以 任意 大 ， 即 使 这 些 项 之 间 没 有 信息 可 用 。 因 此 : 





多 个 层次 结构 有 助 于 避免 构建 一 个 任意 大 的 模型 、 而 只 需 使 用 其 中 很 小 一 部 分 的 缺 





后 面 的 几 节 将 会 讨论 跨 体系 结构 的 关系 。 多 体系 结构 的 存在 不 需要 消 掉 这 种 关系 。 很 多 体 
系 结构 的 结合 与 跨 体系 结构 的 关系 改变 了 模型 的 基本 特点 : 模型 的 发 展 趋势 是 网 状 ， 而 不 是 分 
层 的 。 


16.19 层次 结构 设计 与 效率 


由 于 信息 模型 是 设计 者 用 于 创建 管理 系统 的 概念 基础 ， 因 此 模型 的 总 体 结构 经 常会 影响 和 
成 的 软件 。 特 别 是 ,设计 不 好 的 模型 会 产生 不 必要 的 开销 ， 进 而 造成 系统 效率 不 高 。 这 里 主要 有 

© AIK IRE 

。 跨 层次 的 交互 

1) 层次 的 深度 : 在 面向 对 象 语 言 中 ， 引 用 是 遵循 一 个 类 层次 结构 解决 的 。 因 此 ， 当 一 个 方 
法 被 引用 时 ， 运行 时 系统 会 使 用 该 方法 的 最 具体 的 实例 (在 类 层次 结构 中 最 靠近 调用 点 的 方 
法 ) 。 它 所 带 来 的 问题 是 : 层次 应 该 有 多 深 ? 

无 论 深 或 浅 层次 都 不 可 能 适用 于 所 有 环境 。 一 方面 ， 浅 层次 通过 将 信息 收集 到 较 少 的 对 象 
来 进行 优化 。 但 是 ， 浅 层次 的 每 个 对 象 很 大 ， 这 就 意味 着 查询 一 个 对 象 所 需 的 时 间 很 长 。 但 是 ， 
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尽管 小 的 对 象 可 以 优化 检索 时 间 ， 但 是 小 的 对 象 需要 深层 次 ， 这 样 就 需要 增加 处 理 时 间 。 
这 点 可 归纳 如 下 : 


为 了 使 信息 模型 易于 编程 ， 需 要 遵循 运行 效率 来 设计 信息 模型 。 重 点 需要 考虑 的 包括 
层次 的 深度 。 





2) 跨 层次 的 交互 ; 除了 要 考虑 层次 结构 的 深度 之 外 ， 设 计 痢 还 要 考虑 对 象 之 间 的 交互 ， 这 
些 对 象 从 层次 结构 的 一 部 分 到 为 一 部 分 (或 跨越 不 同 层 次 结构 )。 跨 层次 结构 的 交互 在 有 些 情 帝 
下 特别 重要 ， 那 就 是 相关 信息 放 在 类 层次 结构 的 较 远 部 分 。 例 如 ,设计 者 将 网 络 硬件 的 相关 信息 
放 在 层次 结构 的 一 部 分 ， 而 将 配置 信息 放 在 层次 结构 的 男 一 部 分 。 在 对 人 硬件 进行 配置 之 前 ， 管 理 
系统 需要 与 对 象 进 行 关联 。 与 此 相似 ， 如 果 物 理 上 月 录 信 息 〈 设 备 的 物理 位 置 ) 位 于 层次 结构 的 
一 部 分 ， 设备 (运行 在 特定 计算 机 上 的 服务 右 ) 的 逻辑 描述 位 于 男 一 部 分 ， 则 确定 故障 的 物理 
位 置 所 需 信息 要 跨越 层次 结构 。 我 们 可 以 概括 如 下 : 


如 果 信 息 模 型 将 相关 的 部 分 信息 分 别 放 在 类 层次 结构 的 不 同 部 分 ， 跨 层次 结构 的 交互 


将 会 导致 系统 效率 降低 。 








16. 20” 跨 层次 结构 关系 与 关联 


信息 建 模 组 织 已 经 提出 了 很 多 机 制 ， 它 们 可 以 用 于 表示 相互 之 间 的 关系 ， 以 及 在 严格 继承 
层次 结构 之 外 的 其 他 人 信息。 例如， 信息 模 型 可 以 表示 为 : 

© 多 样 性 

e 号 份 认证 

e 容器 与 组 成 部 分 

e 约束 

理解 设计 思路 需要 考虑 网 络 硬件 描述 。 多 样 性 允许 模型 指定 有 有 零 或 更 多 网 络 接口 的 任意 路 
由 器 ， 或 是 指定 具有 六 个 接口 的 路 由 器 。 身 份 认证 机 制 允许 模型 具有 标签 (为 一 个 实体 进行 非 
正式 的 命名 或 指定 拥有 它 的 组 织 ) 。 容 器 允许 模型 表示 相互 之 间 的 关系 ， 例 如 一 部 分 或 被 包含 ; 
组 成 部 分 表示 的 关系 是 组 成 。 因 此 ， 模 型 可 以 指定 一 个 路 由 带 被 包含 在 特定 的 装备 架 中 。 约 束 进 
一 步 允 许 模 型 明确 关系 : 给 定 服务 器 可 以 通过 TCP, UDP 或 其 他 协议 来 接收 请 求 。 

表示 关系 的 机 制 是 众所周知 的 关联 (association)。 从 理论 的 角度 来 看 ， 关 联 实际 上 是 没有 
吸引 力 的 ， 这 是 由 于 它 打破 了 严格 的 类 层次 结构 。 它 所 带 来 的 问题 在 于 : 信息 模型 如 何 避 免 定义 
额外 的 抽象 ， 并 且 将 所 有 信息 统一 在 一 个 类 层次 结构 中 ? 对 语法 要 求 严格 的 人 提出 的 解决 方法 
是 关联 的 层次 ， 不 是 将 关联 看 作 层次 之 外 的 纽带 ， 而 是 创建 自身 带 有 关联 的 各 个 层次 8。 这 点 可 
归纳 如 下 : 


由 于 严格 的 类 层次 结构 不 足以 表示 所 有 可 能 的 关系 ， 因 此 需要 使 用 额外 的 约束 关系 。 


建 模 倡导 者 断言 ， 层 次 信息 模型 足以 表示 任意 信息 。 因 此 ， 很 多 建 模 技 术 不 是 定义 模 
型 之 外 的 关联 ， 而 是 将 所 有 内 容 放 入 单一 的 抽象 ， 并 将 关联 放 入 独立 的 类 层次 结构 中 。 





”在 类 层次 结构 中 包含 关联 是 对 递归 功能 理论 工作 的 回顾 ,研究 者 热衷 于 研究 那些 足以 表示 所 有 计算 功能 的 数学 
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例如 ， 在 后 面 章 中 讨论 的 CIM 标准 提出 了 一 种 模型 ， 网 络 系统 被 描述 在 一 个 层次 结构 中 ， 


编 址 被 描述 在 第 二 个 层次 结构 中 ， 认 关联 被 描述 在 另 一 个 层次 结构 中 ”。 因 此 ,一 个 了 P 地 址 与 指 
定 的 路 由 器 接口 之 间 的 约束 通过 关联 来 描述 ， 这 个 关联 在 逻辑 上 位 于 关联 层次 结构 中 。 图 16-5 


说 明了 这 个 概念 。 
网 络 系统 






sorte |。 


图 16-5 信息 模型 的 整体 结构 的 例子 ， 关联 位 于 独立 的 类 层次 结构 中 
尽管 将 关联 放 人 类 层次 结构 中 提供 概念 上 的 统一 ,但 是 它 会 带 来 潜在 的 运行 时 效率 问题 : 
当 需 要 使 用 一 个 约束 关系 时 ， 系 统 必 须 访问 在 某 个 层次 结构 中 的 适当 的 关联 对 象 ， 并 将 对 象 放 
在 其 他 层次 结构 中 运行 。 因此， 关联 作为 类 层次 结构 的 部 分 有 可 能 导致 效率 问题 : 





一 个 有 效率 的 管理 系统 是 否 可 以 根据 一 个 关联 位 于 类 层次 结构 中 的 模型 来 设计 ? 





16.21 说 阴性 模型 与 通用 性 


信息 建 模 的 一 个 重要 问题 是 模型 的 范围 与 通用 性 。 根 据 特点 可 以 将 模型 分 为 3 类 : 

。 具体 解决 方案 模型 

。 具体 问题 模型 

。 具体 域 模型 

1) 具体 解决 方案 模型 ; 具体 解决 方案 模型 是 小 型 、 有 约束 的 模型 ， 它 用 于 解决 一 个 具体 的 
问题 。 也 就 是 说 ， 具 体 解 决 方案 模型 有 助 于 构建 一 个 软件 系统 。 具 体 解决 方案 模型 的 设计 者 熟悉 
系统 需求 细节 ， 并 且 知 道 他 将 要 使 用 的 软件 整体 的 结构 。 因 此 ， 具 体 解决 方案 模型 关注 特定 系统 
中 所 需 的 数据 项 ， 并 且 可 以 忽略 其 他 细节 。 

2) 具体 问题 模型 ; 具体 问题 模型 比 具体 解决 方案 模型 更 具 通用 性 。 具 体 问题 模型 不 是 关注 
单一 的 软件 系统 ， 它 记录 与 问题 域 相关 的 信息 而 不 是 解决 方案 。 也 就 是 说 ， 具 体 问题 模型 尝试 提 
供 可 用 于 解决 问题 的 信息 ， 而 不 提供 软件 设计 者 可 采用 的 方案 的 相关 人 作息。 因此， 具体 问题 模型 
的 设计 者 知道 问题 所 在 ， 但 是 不 必 知 道 如 何 构建 软件 来 解决 问题 。 

3) 具体 域 模型 ， 具体 域 模型 是 最 具 通用 性 的 模型 。 这 种 模型 尝试 编码 信息 ， 而 不 必 知 道 信 
息 如 何 使 用 。 也 就 是 说 ， 模 型 的 设计 者 不 需要 知道 处 理 过 程 ， 以 及 用 于 执行 处 理 的 软件 系统 的 
结构 。 

由 于 被 限定 为 单一 系统 体系 结构 ， 具 体 解决 方案 模型 的 通用 性 最 差 。 具 体 解决 方案 模型 的 
缺点 在 于 不 灵活 。 如 果 程 序 员 决定 改变 系统 结构 ， 而 具体 解决 方案 模型 已 经 创建 ， 则 必须 对 模型 
进行 修改 。 | 

在 理论 上 ， 具 体 问 题 模型 与 具体 域 模型 通过 提供 更 好 的 通用 性 来 克服 灵活 性 差 的 缺点 。 具 


O ”可 能 通过 添加 一 个 根来 将 所 有 层次 结构 连接 起 来 ， 我 们 理解 为 通过 分 离 来 增加 层次 结构 在 概念 上 的 独立 。 
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体 问 题 模 型 提供 了 一 个 模型 作为 多 个 系统 体系 结构 的 基础 ， 有 具体 域 模型 通过 支持 更 多 软件 来 提 
供 更 好 的 通用 性 。 因 此 ， 很 多 模型 设计 者 致力 于 创建 可 用 于 任意 问题 的 具体 域 模型 。 他 们 认为 上 
体 域 模型 具有 统一 术语 〈 例 如 变量 名 ) 的 更 大 优点 ， 这 样 可 以 使 编程 更 为 容 多 ， 代 码 可 重用 性 
更 高 。 

实际 上 ， 增 加 通用 性 是 难以 实现 的 。 由 于 面向 对 象 模 型 使 用 信息 的 类 层次 结构 ， 因 此 模型 的 
整体 结构 决定 了 来 自 模型 的 相关 对 象 如 何在 软件 系统 中 组 织 。 为 了 达到 完全 通用 的 目的 ， 具 体 
域 模 型 必须 能 适应 多 种 运行 时 体系 结构 。 通 过 定义 ,模型 针对 信息 引入 具体 的 结构 。 

从 男 一 个 角度 来 看 ， 每 个 模型 都 是 说 明 性 的 (prescriptive) ， 它 规定 了 一 个 特定 的 信息 层次 
结构 。 由 于 模型 定义 了 一 个 先 验 与 保留 的 常量 ， 因 此 我 们 将 具体 域 模型 看 作 是 静态 的 ( static ) 。 
有 趣 的 是 ， 在 创建 软件 之 前 设计 的 静态 模型 表现 出 不 灵活 ， 这 是 由 于 模型 变 得 既 模 糊 而 难以 获 
得 细节 ， 同 时 叉 不 具体 而 难以 适应 新 出 现 的 问题 。 特 别 需 要 注意 的 是 ， 先 验 定义 模型 会 产生 一 个 
静态 类 层次 结构 ， 它 会 导致 软件 的 效率 低下 。 这 点 可 以 概括 如 下 : 


尽管 设计 满足 任意 要 求 的 单一 信息 模型 看 来 有 吸引 力 ， 但 是 静态 的 、 预 定义 的 对 象 层 


次 结构 是 不 灵活 的 ， 并 且 对 有 些 软件 系统 不 是 最 优 的 。 





16.22 ”模型 与 语义 推理 的 目的 


我 们 说 过 ， 建 本 有 助 于 创建 正确 的 软件 系统 。 和 定义 模型 意味 者 要 规定 不 同 数据 之 间 的 语义 
关系 。 因 此 ， 当 定义 一 个 模型 并 遵循 该 模型 创建 一 个 软件 系统 后 ， 程 序 员 可 以 相信 系统 符合 模型 
规定 的 语义 规则 。 也 就 是 说 ， 通 过 创建 与 检查 模型 并 使 用 模型 来 生成 软件 ， 我 们 可 以 防止 程序 员 
在 编写 代码 时 意外 违反 语义 约束 。 

软件 工程 组 织 的 观点 是 建 模 可 以 帮助 创建 软件 ， 而 不 是 概念 化 的 设计 或 帮助 生成 代码 ,但 
是 其 他 组 织 具 有 不 同 的 观点 。 人 工 智能 组 织 将 模型 看 作 可 以 分 析 的 语义 信息 的 来 源 。 这 意味 着 
可 以 采用 某 种 形式 的 数据 挖 握 : 在 一 个 模型 建立 之 后 ， 从 这 个 模型 中 可 以 得 到 语义 推理 。 最 终 目 
标 是 从 模型 中 发 现 不 明显 的 语义 关系 。 信 息 模型 中 的 语义 推理 的 相关 工作 有 熟知 的 语义 网 (Se- 


mantic Web) 。 
16.23 标准 化 信息 模型 


已 被 提出 多 种 信息 模型 并 用 于 构建 网 络 管理 工具 。 具 体 解 决 方案 信息 模型 已 用 于 帮助 构建 
特定 的 软件 系统 。 另 外 ， 有 些 组 织 已 开始 进行 具体 域 模型 的 研究 工作 ， 例 如 分 布 式 管理 任务 组 
(DMTF) 与 电信 管理 论坛 (TMF), ， 这 种 模型 足以 满足 所 有 的 管理 活动 。DMTF 创建 了 一 个 具 
体 域 模型 ，TME 创建 了 以 下 两 个 模型 : 

e DMTF: 通用 信息 模型 (CIM) 

o TMF: 共享 信息 /数据 模型 (SID) 

”多 技术 网 络 管理 模型 (MTNM) 

最 近 ， 这 两 个 组 织 宜 布 它们 计划 共同 工作 ， 以 协调 这 些 模型 中 不 同 的 地 方 。 

问题 仍然 存在 : 标准 化 工作 是 否 有 助 于 模型 成 功 ? 在 理论 上 ， 如 果 网 络 管理 产业 采用 单一 的 
标准 ， 开 发 软件 时 过 到 的 很 多 困难 都 容易 解决 。 例 如 ， 如 果 将 单一 的 模型 作为 开发 管理 系统 的 基 
础 ， 数 据 项 在 所 有 管理 软件 上 都 是 一 致 的 ， 并 且 人 允许 多 个 厂商 的 系统 之 间 互 通 。 管 理 系统 与 底层 
管理 元 素 之 间 的 接口 也 可 以 进行 标准 化 。 结 果 ， 标 准 化 将 使 开发 可 移植 的 管理 应 用 成 为 可 能 ， 它 
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可 以 用 在 多 种 网 络 管理 平台 上 。 

但 实际 上 ， 没 有 哪 种 标准 足以 作为 管理 软件 的 基础 ， 标 准 模型 的 概念 带 来 一 个 重要 问题 : 静 
态 层次 结构 的 上 暗示。 每 个 标准 建议 创建 一 个 具体 域 模 型 ， 它 可 以 用 于 任意 的 管理 系统 或 应 用 。 因 
此 ， 这 个 标准 模型 会 很 大 并 近似 于 静态 (模型 尝试 得 到 基本 网 络 功 能 与 管理 服务 的 所 有 细节 )。 
由 于 模型 变 得 很 大 ， 需 要 得 到 信息 的 所 有 方面 (包括 关联 )。 问 题 是 这 样 的 模型 能 否 产 生 有 效率 
的 管理 系统 软件 ， 以 及 能 否 对 产生 低 效率 的 软件 结构 做 出 前 期 判断 。 

我 们 可 以 概括 如 下 : 


尽管 CIM, SID 与 MTNM 模型 都 是 标准 化 的 ， 每 种 模型 具有 一 个 静态 的 信息 层次 结 


构 ， 这 意味 着 它们 都 与 具体 域 模型 有 相同 的 缺点 。 最 后 ， 需 要 考虑 这 些 模型 是 否 能 产 
生 有 效率 的 管理 系统 。 





16. 24 模型 的 图 形 化 表示 


关于 建 模 的 讨论 需要 考虑 用 于 表示 模型 的 语言 。 建 模 语言 主要 有 2 类 : 文本 化 建 模 语言 
(textual modeling language) 与 图 形 化 建 模 语言 (graphical modeling language) 。 文 本 化 建 模 语 言 
的 主要 优点 是 容易 解析 。 文 本 化 建 模 语言 规定 设计 者 需要 使 用 的 详细 的 语法 规则 ， 它 类 似 于 编 
程 语 言 的 语法 规则 。 也 就 是 说 ， 文 本 化 建 模 语言 与 编程 语言 一 样 要 定义 正式 的 语法 ， 句 法 格式 
(例如 标点 符号 ) 用 于 规定 模型 中 的 项 。 它 所 产生 的 语法 是 无 二 义 性 的 。 因 此 ， 通 过 图 形 化 建 模 
语言 编写 的 模型 可 以 被 编译 器 解析 ， 以 便 检查 句法 格式 、 分 析 规 定 ， 以 及 将 模型 转换 为 有 效 的 内 
部 格式 。 

文本 化 建 模 语言 的 主要 缺点 是 人 类 难以 阅读 与 理解 具体 规定 。 文 本 化 建 模 语言 的 发 展 趋势 
是 庞大 与 细节 多 ， 使 用 文本 化 的 标签 来 指定 子 类 的 之 间 的 关系 。 图 形 化 表示 方式 更 易于 人 类 的 
理解 。 例 如 ， 本 章 中 的 图 通过 图 形 说 明 层 次 结构 ， 这 样 更 易于 理解 。 

当然 ， 本 章 中 的 图 表 只 说 明了 其 中 很 少 的 一 部 分 层次 结构 ， 并 且 没 有 给 出 信息 模型 中 的 细 
广 。 当 图 形 化 用 于 描述 信息 模型 时 ， 图 表 中 的 各 项 包含 相关 的 大 量规 定 (例如 类 型 与 含义 )。 另 
外 ， 很 多 信息 模型 是 庞大 而 复杂 的 ， 不 像 显 示 在 图 中 那样 的 简单 ， 信 息 模 型 的 图 中 的 每 个 节点 通 
常 包 含 很 多 细节 ， 可 能 包含 带 有 几 百 个 子 类 的 节点 ， 也 可 能 包括 关联 与 跨 层 次 的 关系 。 因 此 ， 尽 
管 图 形 化 语言 可 以 帮助 人 类 理解 小 的 类 层次 结构 的 顶层 级 别 ， 但 一 个 包含 很 多 细节 的 大 的 模型 
是 复杂 与 难以 理解 的 。 演 示 工 具 通过 忽略 细节 与 提供 导航 来 使 模型 更 易于 理解 。 但 是 ,我们 可 以 
概 插 如下: 


尽管 图 形 化 建 模 语言 可 以 使 小 的 模型 易于 理解 ， 但 是 对 包含 很 多 图 形 的 大 的 模型 与 文 


本 方式 一 样 难以 理解 。 





用 图 形 化 语言 表示 模型 的 概念 已 得 到 广泛 应 用 ， 并 且 已 提出 了 几 种 图 形 化 方式 。 有 一 种 图 
形 化 建 模 语 言 已 被 广泛 接受 ， 它 就 是 对 象 管理 组 创建 的 统一 建 模 语 言 (Unified Modeling Lan- 
guage, UML), 

UML 在 语言 中 为 各 项 定义 了 精确 的 符号 ， 包 括 表示 一 个 类 层次 结构 的 方法 与 层次 结构 中 各 
项 之 间 的 关系 。 例 如 ， 一 个 实 线 矩 形 框 表示 一 个 类 ， 它 的 上 面 有 一 个 黑体 的 和 名称。 一 个 类 的 矩形 
可 以 分 为 子 区 域 ， 它 们 包含 类 的 一 组 属性 (attribute) 与 方法 (method) 。 没 有 箭头 的 线段 用 于 
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描述 通用 性 的 部 分 〈 例 如 子 类 )e 。 

UML 是 一 种 大 型 语言 ， 它 不 只 可 以 表示 类 层次 结构 与 数据 语义 。 例 如 ，UML 包括 描述 人 类 
动作 的 符号 、 工 程 需求 〈 例 如 用 例 ) 、 多 重 性 〈 例 如 N :1) 、 实 现 、 时 序 图 与 关系 等 。 因 此 ， 除 
了 描述 静态 信息 与 语义 ，UML 图 可 用 于 描述 任意 交互 与 关系 。UML 还 允许 模型 设计 者 规定 文本 
AB, ， 例 如 数据 与 方法 的 名 称 。 

我 们 可 以 概括 如 下 : 


UML 是 一 种 被 广泛 接受 的 图 形 化 建 模 语言 。 除 了 使 用 图 来 描述 类 层次 结构 ，UML 提 


供 了 描述 任意 关系 、 动 作 、 交 互 与 文本 信息 的 方法 。 





16.25 复杂 性 问题 


建 模 与 模型 驱动 设计 的 一 个 关键 问题 是 复杂 性 。 复 杂 性 的 一 个 来 源 是 语言 (例如 UML) 的 
完全 通用 性 。 由 于 语言 中 包含 用 于 描述 信息 的 很 多 方面 的 符号 ，UML 图 可 以 快速 地 表示 出 细节 ， 
其 中 很 多 细节 与 从 软件 中 得 到 的 内 容 无 关 。 男 外 ， 图 形 的 很 小 变化 会 导致 语义 的 很 大 变化 ， 因 此 
图 形 方式 是 难以 阅读 的 。 例 如 ， 线 段 的 形式 (有 箭头 或 无 箭头 ) 会 使 含义 完全 改变 ， 因 此 要 认 
真 考虑 两 个 实体 之 间 的 箭头 。 

从 更 广 的 角度 来 考虑 ， 我 们 可 以 问 一 个 关于 复杂 性 的 问题 : 如 有 果 建 模 的 目的 是 服务 于 开发 
软件 ， 那 么 创建 一 个 通用 的 模型 会 使 模型 变 得 多 复杂 ， 其 难度 与 通过 具体 解决 方案 模型 或 不 通 
过 模型 来 开发 软件 相 比 ， 哪 个 难度 更 大 一 些 ? 在 采用 具体 域 模型 的 情况 下 ， 经 验 表 明 ， 构 建 模型 
的 复杂 性 很 明显 是 不 利 的 ， 创 建 遂 用 模型 的 任务 很 复杂 ， 消 耗 时 间 长 。 例 如 ， 尽 管 DMTF 已 对 
CIM 模型 进行 了 多 年 的 研究 ， 但 工作 仍 没有 结束 并 且 模 型 也 没有 完成 。 

我 们 可 以 概括 如 下 : 


信息 建 模 的 复杂 性 表现 在 两 个 方面 。 一 方面 ， 模 型 很 容易 变 得 很 大 、 很 复杂 ， 这 使 得 
人 们 难以 理解 它 。 另 一 方面 ， 具 体 域 模型 很 难 创建 ， 以 至 于 任务 难以 完成 。 





16.26 ”映射 对 象 到 数据 库 与 关系 


前 面 的 几 节 说 到 ， 信 息 建 模 与 数据 建 模 可 以 结合 使 用 。 这 种 绪 合 来 自 于 软件 系统 中 的 持久 
性 存储 的 需求 ， 该 系统 遵循 模型 驱动 范 型 。 尽 管 程序 员 可 以 编写 代码 将 对 象 保存 在 磁盘 文件 中 ， 
这 样 做 意味 着 需要 为 相互 排斥 与 两 阶段 提交 选择 合适 的 数据 表示 与 构建 机 制 。 文 件 可 以 用 提供 
相应 机 制 的 标准 数据 库 系 统 来 代替 。 

在 数据 库 系统 可 以 使 用 之 前 ， 程 序 员 必 须 创 建 一 个 机 制 来 规定 如 何 保存 各 项 。 尊 循 一 个 模 
型 驱动 方案 意味 着 设计 者 要 创建 一 个 数据 模型 并且 使 用 这 个 数据 模型 来 产生 一 个 结构 。 在 本 
质 上 ， 模 型 驱动 设计 采用 的 是 两 层 抽象 。 

信息 建 模 与 数据 建 模 的 结合 带 来 几 个 有 趣 的 问题 。 一 方面 ， 我 们 可 以 看 是 否 可 以 构建 一 个 
系统 ， 其 中 数据 模型 可 以 对 数据 库 中 的 值 进行 操纵 ， 而 不 依赖 于 信息 模型 〈 被 网 络 元 素 直 接 保 
存在 数据 库 中 ) 。 另 一 方面 ， 面 癌 对 象 运行 时 系统 与 数据 库 在 分 布 式 环境 中 出 现 一 个 问题 ， 它 是 
由 于 运行 时 系统 具有 控制 分 布 式 处 理 过 程 的 能 力 。 面 向 对 象 运 行 时 系统 在 将 每 个 对 象 保存 在 数 


© UML 提供 了 男 一 种 风格 ; 一 个 类 的 部 分 可 以 用 几 个 矩形 表示 ， 使 用 有 箭头 的 线段 表示 它们 是 一 个 整体 。 
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据 库 中 之 前 ， 是 否 能 将 该 对 象 拷贝 在 期 望 的 位 置 ?9 Dd et Ae es TY R ee AP EAS AT Be HE 3S Bl BL 
据 库 的 任意 位 置 ， 并 人 允许 数据 库 移动 这 份 拷贝 ?在 最 坏 的 情况 下 ， 在 运行 时 系统 将 对 象 发 送 到 远 
程 的 位 置 后 ,数据库 系统 有 可 能 选择 将 数据 保存 回 原始 位 置 。 

这 点 可 归纳 如 下 : 





尽管 一 个 系统 可 以 使 用 信息 模型 与 数据 模型 ， 但 它们 的 结合 会 带 来 事务 如 何 管理 ， 以 


及 哪个 运行 时 系统 控制 数据 位 置 的 问题 。 如 果 两 个 系统 对 数据 位 置 的 处 理 不 一 致 ， 将 
会 导致 整个 系统 效率 低下 。 








16.27 拓扑 信息 的 表示 与 保存 


管理 系统 需要 精确 、 完 整 的 网 络 拓 扑 信 息 。 正 如 我 们 所 看 到 的 ， 与 管理 系统 相关 的 拓扑 信息 
包括 指定 每 个 实体 位 置 的 物理 拓扑 ， 以 及 指定 连接 与 数据 路 径 的 逻辑 拓扑 。 我 们 也 看 到 ， 智 能 故 
障 的 相关 性 要 求 系统 理解 逻辑 与 物理 拓扑 之 间 的 关系 。 

在 建 模 过 程 中 ; 拓扑 带 来 了 几 个 问题 。 如 何在 信息 模型 中 指定 拓扑 ? 如 何 将 拓扑 信息 交 给 管 
理 系统 ? 回忆 一 下 ， 有 两 种 方法 可 以 用 于 得 到 拓扑: 

。 人 工 配 置 

° 日 动 发 现 

自动 发 现 看 来 是 一 个 理想 的 方法 。 从 网 络 自 身 得 到 的 信息 是 精确 的 ， 这 是 由 于 自动 发 现 可 
以 避免 那些 输入 时 的 人 工 错误 ,或 在 拓扑 变化 后 人 工 更 新 管理 系统 的 记录 。 后 者 特别 重要 ， 这 是 
由 于 管理 员 最 重视 操作 的 正确 性 ， 而 在 管理 系统 中 更 新 记录 要 事后 完成 。 

但 是 ， 目 动 发 现 也 有 缺点 。 发 现 拓扑 的 工具 通常 依赖 于 网 络 协议 与 应 用 程序 ， 以 便 推 断 出 连 
通 性 与 邻接 关系 。 因 此 ， 这 类 工具 只 能 查找 元 素 之 间 连 接 时 的 可 路 由 路 径 ， 这 就 意味 着 它们 只 能 
识别 逻辑 拓扑 。 例 如 ， 考 虑 通过 传输 层 隧道 远 距 离 连 接 两 个 路 由 器 。 由 于 探测 器 直接 从 一 台 路 由 
器 到 刀 一 台 路 由 器 ， 则 自动 发 现 工具 会 将 两 个 路 由 嚣 识别 为 邻接 点 。 与 此 类 似 ， 由 于 依赖 于 特定 
的 协议 ， 目 动 发 现 工具 不 能 识别 物理 设备 与 逻辑 设备 。 例 如 ， 自 动 发 现 工具 不 能 判断 一 个 路 由 器 
是 否 虚 拟 〈 即 路 由 器 是 否 为 一 个 大 型 物理 设备 中 的 子 组 ) ， 或 确定 运行 特定 服务 器 的 计算 机 系 
统 。 这 点 可 归纳 如 下 : 


尽管 得 到 网 络 拓扑 信息 看 起 来 很 简单 ， 但 由 于 依赖 于 高 层 协 议 的 自动 发 现 工具 只 能 通 


过 可 路 由 路 径 来 发 现 逻 辑 拓扑 ， 因 此 拓扑 问题 实际 上 很 复杂 。 自 动 发 现 工具 难以 区 分 
物理 与 虚拟 的 元 素 。 





除了 受到 逻辑 拓扑 的 限制 ， 有 些 自动 发 现 工具 将 结果 直接 输出 到 数据 库 中 。 拓 扑 描述 可 以 
通过 合适 的 数据 模型 来 完成 ， 但 是 描述 难以 满足 任意 的 信息 模型 。 我 们 可 以 概括 如 下 






那些 将 结果 输出 到 数据 库 的 发 现 工具 ,使 自动 发 现 功能 难以 应 用 在 任意 的 模型 驱动 设 
计 中 。 | 


| 











16.28 ABBA 
网 络 管理 语义 方面 的 讨论 是 大 规模 的 、 仍 在 进行 的 语义 讨论 。 我 们 认为 能 够 分 类 与 组 织 信 
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息 ， 但 是 软件 设计 者 更 关注 如 何 组 织 信息 ， 以 便 易 于 创建 正确 与 有 效 的 程序 。 直 观 上 来 说 ， 我 们 
认为 没有 一 种 结构 对 所 有 可 能 的 应 用 而 言 是 最 优 的 ， 因 此 结构 的 选择 主要 依赖 于 期 望 的 用 途 。 

有 趣 的 是 ， 人 工 智 能 与 数据 挖掘 方面 的 研究 团体 正在 从 不 同 的 角度 研究 信息 结构 的 问题 。 
数据 挖掘 研究 的 思路 是 : 通过 信息 数据 库 中 各 项 的 组 合 或 关联 可 以 获得 哪些 信息 ?人 工 智能 研 
究 团体 使 用 本 体 论 (ontology) 这 个 术语 ， 并 且 关 注 信 息 的 语义 研究 方面 。 人 工 智 能 研究 的 思路 
是 : 从 信息 语义 的 规范 中 可 以 得 到 什么 语义 推理 ? 每 种 研究 都 在 寻找 在 最 初 的 规定 中 并 不 明显 
的 关系 。 

这 点 可 归纳 如 下 ，; 


除了 考虑 有 助 于 程序 员 创 建 正确 与 有 效 的 软件 的 规范 之 外 ， 相 关 研 究 还 考虑 这 些 规范 
如 何 用 于 发 现 隐 藏 的 关 系 o 














16.29 总 结 


由 于 软件 只 能 对 数据 的 值 进行 操作 ， 有 关 网 络 的 信息 需要 导 人 管理 系统 ， 并 且 结 果 需 要 导 
出 到 网 络 。 导 入 信息 既 可 以 来 自 人 工 的 管理 员 ， 又 可 以 直接 来 自 网 络 元 素 。 

由 于 没有 哪 种 表示 方法 适合 所 有 情况 ， 因 此 选择 数据 表示 方法 很 复杂 。 管 理 系统 需要 以 管 
理应 用 可 使 用 的 形式 来 导出 信息 ， 并 且 需 要 将 这 些 信息 保存 在 关系 数据 库 中 。 典 型 的 管理 系统 
采用 多 种 表示 方法 并 完成 转换 ， 以 及 用 于 数据 传输 的 串 行 化 过 程 。XML 提供 可 扩展 的 串 行 化 。 

数据 值 的 转换 需要 保证 语义 不 变 。 信 息 建 模 是 一 种 用 于 规定 语义 的 技术 。 面 向 对 象 的 信息 
模型 定义 了 一 个 类 层次 结构 ， 其 中 可 能 包含 很 多 层次 结构 。 信 息 模型 的 重要 考虑 包括 层次 结构 
的 深度 与 跨越 层次 结构 的 交互 。 模 型 使 用 关联 来 表示 跨越 层次 结构 的 交互 (例如 作为 一 部 分 ); 
关联 可 以 被 保存 在 不 同 的 层次 结构 中 。 

信息 模型 可 以 基于 具体 解决 方案 、 具 体 问题 或 具体 域 。 实 际 上 ， 由 于 具体 域 模 型 倾向 于 为 软 
件 描述 一 个 结构 ， 并 且 不 包含 要 创建 的 软件 中 问题 如 何 解决 的 知识 ， 因 此 模型 的 通用 性 是 难以 
实现 的 。 

两 个 标准 化 组 织 致力 于 为 所 有 管理 行为 制定 具体 域 信 息 模型 : DMTF 组 织 提出 了 通用 信息 模 
型 (CIM) ，TMF 组 织 提出 了 共享 信息 /数据 模型 (SD) 与 多 种 技术 网 络 管理 模型 (MTNM) 。 
每 种 模型 实现 了 一 种 静态 的 层次 结构 。 这 些 标 准 化 模型 在 实际 系统 中 的 效果 尚 不 明显 。 统 一 建 
模 语言 (UML) 已 成 为 一 种 用 于 制定 信息 模型 的 事实 上 的 标准 。UML 使 用 的 是 图 形 化 的 符号 ， 
但 是 某 些 项 可 能 需要 文本 信息 。 由 于 它们 都 相当 复杂 ， 因 此 信息 模型 难以 创建 与 理解 ， 模 型 是 否 
有 助 于 创建 管理 系统 软件 仍 需 要 观察 。 

拓扑 信息 的 获取 与 存储 是 一 个 特别 的 挑战 。 尽 管 人 工 输入 的 拓扑 信息 被 认为 是 人 为 错误 ， 
但 是 使 用 高 层 协议 的 发 现 机 制 是 有 限制 的 ， 并 且 只 能 识别 出 逻辑 拓扑 的 问题 。 另 外 ， 自 动 发 现 工 
具 不 容易 区 分 虚拟 与 物理 元 素 。 


第 17 章 设计 上 的 权衡 


17.1 简介 


本 部 分 前 面 各 章 讨论 了 一 个 综合 性 的 目 动 网 络 管理 系统 的 预期 特性 、 可 能 的 体系 结构 ， 以 
及 在 表示 方法 与 语义 方面 的 复杂 问题 。 

本 章 提出 了 一 组 创建 软件 系统 的 权衡 方案 ， 该 系统 用 于 目 动 完成 网 络 管理 任务 。 本 曹 只 是 
提出 问题 ， 并 不 给 出 答案 。 因 此 ， 每 凶 提 出 权衡 方案 、 列 出 可 能 性 与 评 信 结果 ， 而 并 不 尝试 解决 
问题 或 做 出 选择 。 

为 了 有 助 于 讨论 ， 本 章 将 权衡 方案 区 分 为 几 种 类 型 ， 从 要 解决 的 问题 与 可 用 的 通用 方法 开 
始 。 接 着 ， 本 章 围绕 网 络 系统 体系 结构 的 选择 、 软 件 工程 与 设计 权衡 方案 ， 以 及 在 表示 方法 与 语 
义 方面 的 权衡 来 进行 考虑 。 很 明显 ， 这 个 区 分 并 不 是 绝对 的 ， 我 们 将 看 到 一 种 类 型 的 选择 可 以 影 
响 其 他 类 型 的 可 能 性 。 | 


17.2 涉及 范围 与 总 体 方 针 的 权衡 


311 e 解决 子 问 题 的 现 有 系统 与 未 来 的 综合 性 系统 
也 许 最 重要 的 权衡 涉及 要 解决 的 问题 的 总 体 范围 。 一 方面 ， 从 现 有 的 商用 与 研究 系统 中 ， 我 
313) 人 们 发 现 ， 可 以 构建 系统 工具 ， 每 种 工具 只 解决 一 部 分 的 管理 问题 。 另 一 方面 ， 尽 管 综合 性 系统 是 
可 以 预期 的 ， 但 是 为 创建 这 种 系统 需要 广泛 研究 与 开发 。 
se 决策 自治 与 协同 策略 
一 个 基本 的 权衡 集中 在 自治 方面 ， 特 别 是 在 一 个 大 型 的 、 多 校区 的 网 络 中 。 每 个 站 点 可 以 赋 
予 多 大 程度 的 自治 ? 尽管 自治 是 重要 的 ， 但 是 赋予 自治 意味 着 放弃 控制 。 琐 碎 的 细节 〈 例 如 名 
字 的 分 配 ) 也 可 能 导致 重 礁 与 不 一 致 。 
。 一 组 固定 的 已 知 元 素 与 服务 的 调整 与 适应 新 元 素 与 服务 的 通用 人 性 
如 果 预 先知 道 所 有 的 网 络 元 素 与 服务 ， 就 可 能 设计 一 个 对 特定 组 的 处 理 达到 最 优 的 系统 。 
如 果 目 标 是 适应 任意 的 新 元 素 与 服务 ， 那 么 在 系统 设计 时 对 扩展 性 的 要 求 超过 对 效率 的 要 求 。 
e 支持 面向 连接 与 无 连接 网 络 路 由 
路 由 控制 是 网 络 管理 的 一 个 重要 部 分 ， 系 统 可 以 基于 面向 连接 或 无 连接 结构 而 设计 。 用 于 
流量 工程 的 面向 连接 技术 (例如 MPLS) 引入 了 更 多 的 开销 ， 但 是 为 管理 系统 提供 比 动态 IP 
由 更 多 的 控制 。 一 个 极端 是 ， 在 管理 系统 中 引入 更 多 的 智能 意味 着 所 有 控制 与 配置 操作 来 自 管 
理 系 统 ， 并 且 网 络 元 素 可 以 是 哑 终 端 。 另 一 个 极端 是 ， 如 果 每 个 网 络 元 素 包含 足够 的 智能 以 自我 
配置 与 适应 网 络 环境 ， 则 管理 系统 只 需要 提供 全 局 的 策略 、 监 控 网 络 状态 并 收集 设备 故障 报告 
即 可 。 一 个 实际 的 系统 通常 会 在 两 种 极端 之 间 加 以 权衡 ， 并 将 部 分 智能 分 布 在 网 络 元 素 与 管理 
系统 中 。 
es 适 于 管理 员 的 功能 与 适 于 网 络 元 素 的 功能 
使 用 适 于 人 的 模式 的 系统 通常 不 适 于 底层 设备 ， 反 之 亦 然 。 例 如 ， 如 果 设 备 的 管理 接口 输出 
的 是 适 于 人 工 的 HTML， 则 它 难 以 被 计算 机 程序 分 析 与 理解 。 同 样 ， 如 果 系 统 允许 管理 员 规 定 全 
局 的 策略 (例如 为 商业 功能 设置 优先 级 ) ， 则 它 难以 将 策略 转换 成 用 于 达成 策略 的 参数 。 
e 自动 拓扑 发 现 与 拓扑 规定 
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一 方面 ， 由 于 在 拓扑 变化 时 不 依赖 人 工 更 新 数据 库 ， 所 以 自动 发 现 可 以 提供 准确 与 及 时 的 
记录 。 田 一 方面 ， 自 动 发 现 需要 使 用 不 同 协议 ， 这 意味 着 发 现 工具 只 能 报告 逻辑 拓扑 与 跟踪 可 路 
由 的 路 径 。 

o 通过 快照 恢复 与 通过 重新 配置 恢复 

在 人 工 关闭 或 电源 失效 的 情况 下 ,管理 系统 必须 提供 一 种 方式 来 重新 启动 网 络 。 有 两 类 方 
法 可 以 使 用 : 配置 命令 的 拷贝 可 以 保存 为 管理 员 配 置 元 素 ， 每 个 网 络 元 素 状态 的 快照 在 网 络 正 
常 运行 时 可 以 持久 性 保存 。 尽 管 使 用 快照 更 有 效率 ， 但 是 它 通常 包括 有 关 时 间 的 项 ， 例 如 在 恢复 
后 没有 意义 的 时 间 惟 。 使 用 配置 命令 重新 配置 网 络 可 以 避免 时 间 差异 ， 但 是 它 的 效率 不 高 ， 并 且 
要 求 一 个 配置 时 的 全 局 顺序 〈 在 其 他 网 络 元 素 已 经 完成 配置 之 前 ， 很 可 能 无 法 在 一 个 给 定 的 网 
络 元 素 上 完成 配置 ) 。 


17.3 结构 的 权衡 


。 集成 系统 与 单独 的 工具 

集成 系统 提供 了 一 种 一 致 、 统 一 的 机 制 来 解决 全 部 管理 问题 ,但 是 它 不 容易 被 改变 。 单 独 的 
工具 通常 缺乏 一 致 性 ， 它 可 以 复制 数据 项 或 处 理 过 程 ， 但 是 它 可 以 被 更 新 或 替换 ， 而 不 影响 其 他 
工具 。 

。 单一 网 络 与 用 于 管理 流量 的 单独 网 络 

通过 一 个 网 络 传输 普通 流量 与 管理 流量 的 优点 是 成 本 低 ， 以 及 不 需要 单独 的 设施 对 管理 网 
络 进行 管理 。 通 过 单独 的 基础 设施 将 管理 流量 与 普通 流量 分 离 的 优点 是 互 不 干涉 与 对 故障 的 免 
疫 。 免 疫 是 指 故障 发 生 在 运营 网 络 (例如 路 由 环 路 ) 时 ， 并 不 会 阻止 管理 动作 的 进行 ， BAT 
涉 是 指 管理 动作 不 会 影响 运营 网 络 。 互 不 干涉 对 性 能 评估 特别 重要 ， 这 是 由 于 流量 (例如 流 数 
据 ) 可 以 被 认为 是 网 络 中 主要 的 负载 。 

。 即 插 即 用 与 指定 配置 

关于 采用 的 基本 配置 的 决定 性 因素 在 于 : 网 络 元 素 之 间 直 接 交 互 以 实现 自我 配置 ， 还 是 由 
管理 系统 来 配置 每 个 元 素 ? 集中 配置 的 优点 在 于 管理 员 有 能 力 进 行 精确 控制 ; 自动 配置 的 优点 
在 于 网 络 元 素 有 能 力 进 行 配 置 ， 而 不 需要 直接 控制 。 

。 集成 管理 系统 与 用 于 标准 化 元 素 接口 的 脚本 

一 方面 ， 提 供 所 有 功能 的 集成 网 络 管理 系统 可 以 将 信息 重用 于 网 络 管理 的 各 个 方面 ， 并 且 
可 以 被 设计 得 更 有 效率 。 另 一 方面 ， 如 果 每 个 网 络 元 素 带 有 标准 化 的 接口 ， 允 许 软件 对 元 素 进行 
有 效 地 检查 或 控制 ， 那 么 每 个 管理 员 就 可 以 自由 地 设计 应 用 或 脚本 ， 以 提供 可 以 满足 某 个 组 织 
需求 的 确切 功能 。 | 

o 标准 化 元 素 接口 与 平台 加 应 

入 用 标准 化 元 家 食品 的 体系 结构 允许 构建 用 或 脚本 ， 以 便 与 底 度 网 络 元 素 进行 直接 交互 。 
另外 ， 有 可 能 构建 一 个 通用 的 管理 平台 ， 以 便 与 元 素 或 应 用 进行 交互 。 也 就 是 说 ， 管 理 平台 从 元 
素 收集 信息 并 使 它 可 用 于 应 用 ， 以 及 从 应 用 收集 命令 并 将 它 应 用 于 元 素 。 采 用 平台 体系 结构 的 
优点 是 可 以 隐藏 设备 的 细节 并 减少 数据 的 复制 ， 它 的 缺点 是 限制 了 应 用 的 功能 。 

。 直接 操纵 持久 性 存储 与 分 离 的 外 部 数据 库 | 

管理 系统 直接 操纵 持久 性 存储 体系 结构 的 优点 是 存储 可 以 针对 要 存储 的 数据 项 进行 优化 。 
尽管 并 不 能 提供 对 数据 的 优化 表示 方法 ， 与 外 部 存储 分 离 的 管理 系统 可 以 与 标准 化 的 数据 库 软 
件 合作 ， 以 提供 对 应 用 产生 的 数据 项 的 直接 访问 与 控制 。 
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17.4 工程 与 代价 的 权衡 


。 更 高 的 通信 负载 与 低 精确 度 的 信息 

网 络 管理 系统 的 许多 功能 要 求 系统 收集 与 分 析 数 据 。 频 繁 地 收集 数据 会 改善 分 析 的 精确 度 ， 
特别 是 在 管理 系统 使 用 获得 的 数据 来 评估 网 络 性 能 的 情况 下 。 但 是 ， 观 测 频率 的 提高 将 使 管理 
系统 在 网 络 中 传输 的 流量 增加 。 由 于 带宽 被 管理 流量 消耗 而 无 法 用 于 普通 通信 ， 因 此 更 精确 的 
分 析 将 导致 增加 的 负载 。 

。 功能 强大 与 易于 使 用 

在 管理 系统 提供 给 管理 员 的 功能 与 用 户 接口 的 复杂 度 之 间 需 要 权衡 。 为 了 支持 管理 员 指定 
细节 或 在 很 多 可 能 性 中 进行 选择 ， 管 理 系 统 必须 提供 更 多 的 选择 。 其 结果 是 管理 员 需 要 花 更 多 
时 间 学 习 接口 。 也 就 是 说 ， 如 果 一 个 系统 允许 管理 员 执 行 更 多 功能 与 实现 对 网 络 更 多 的 控制 ， 必 
然 导 致 它 的 接口 变 得 更 加 复杂 。 

e 立即 反馈 与 对 问题 的 全 面 分 析 

一 方面 ， 当 首次 发 现 可 疑 的 行为 时 ， 管 理 系统 可 以 立即 通知 管理 员 。 这 样 可 以 通知 管理 员 及 
时 注意 潜在 的 问题 ， 缺 点 是 管理 员 将 会 被 不 必要 的 细节 所 困扰 。 另 一 方面 ， 管 理 系统 可 以 等 到 从 
多 个 来 源 收集 信息 、 生 成 报告 与 分 析 结 果 后 ， 通 知 管理 员 产 生 这 个 问题 的 根源 。 当 然 ， 也 可 能 做 
到 既 及 时 通知 管理 员 ， 又 通过 深入 分 析 报 告 获得 可 用 的 结果 。 但 是 ， 从 管理 员 的 角度 来 看 ， 在 快 
速 通知 与 全 面 分 析 之 间 需 要 权衡。 

。 远程 协作 工具 与 管理 流量 

大 型 网 络 中 的 重要 流量 集中 在 管理 功能 的 分 布 上 ， 特 别 是 故障 检测 与 分 析 。 一 个 集中 式 管 
理 系统 会 将 从 网 络 元 素 收集 的 所 有 信息 交 给 一 个 中 心 节 点 来 分 析 。 分 布 式 的 设计 需要 选择 位 于 
网 络 中 不 同位 置 的 多 个 协作 节点 。 每 个 协作 节点 从 周围 的 网 络 元 素 收集 与 分 析 数 据 ， 并 将 分 析 
结果 返回 到 集中 式 管理 系统 。 因 此 ， 远 程 协作 会 带 来 额外 的 流量 ， 并 增加 总 的 管理 流量 ， 需 要 在 
二 者 之 间 做 出 权衡 。 

_e 可 扩展 的 编 址 、 路 由 与 自动 分 配置 地 址 

可 扩展 的 编 址 与 路 由 系统 的 核心 概念 是 层次 结构 。 但 是 ， 分 层 地 址 必须 被 配置 ( 即 以 一 种 
有 意义 的 方式 来 分 配 ) 。 另 一 种 分 层 编 址 方案 是 众所周知 的 平面 编 址 ， 支 持 地 址 被 自动 分 配 〈 例 
如 没有 配置 要 求 的 永久 性 固定 编制 ) ， 但 是 它 会 导致 在 大 型 网 络 中 的 路 由 效率 低 。 因 此 ， 在 配置 
地 址 的 负载 与 限制 规模 之 间 需 要 加 以 权衡 。 

。 大 的 绝对 命名 与 小 的 相对 命名 

当 设 计 者 为 数据 项 选择 名 称 时 ， 要 选择 采用 绝对 还 是 相对 命名 方案 。 尽 管 绝对 命名 是 准确 
的 并 可 用 于 任何 地 方 ， 但 是 它 通常 很 大 并 且 不 适 于 人 类 。 相 比 之 下 ， 相 对 命名 比较 小 并 且 适 于 人 
类 认识 与 记忆 ， 但 是 它 只 能 用 于 特定 的 环境 中 。 因 此 ， 在 大 的 、 准 确 的 绝对 命名 与 小 的 、 不 准确 
却 易 于 人 类 记忆 的 相对 命名 之 间 需 要 权衡 。 

o 可 扩展 的 系统 与 运行 时 效率 

一 个 被 设计 为 可 扩展 的 软件 系统 是 容易 增加 与 修改 的 。 例 如 ， 一 个 服务 器 可 以 包含 钩子 ， 以 
便 管 理 员 调用 脚本 来 执行 特定 的 处 理 过 程 ， 以 及 适应 服务 器 在 特定 需求 或 环境 中 的 动作 。 但 是 ， 
可 扩展 的 软件 系统 会 带 来 额外 的 运行 时 负载 ， 即 使 在 没有 外 部 脚本 被 调用 的 情况 下 。 因 此 ， 在 可 
扩展 与 运行 时 效率 之 间 需 要 权衡 。 
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17.5 表示 与 语义 的 权衡 


e 用 于 数据 的 空间 与 用 于 存储 或 访问 的 时 间 

在 数据 表示 中 的 典型 权衡 是 大 家 知道 的 时 间 / 空 间 权 衡 ， 它 源 自 用 于 存储 的 空间 大 小 与 处 理 
时 间 的 关系 。 减 少 处 理 时 间 的 表示 方法 通常 会 增加 存储 空间 ， 反 之 环 然 。 例 如 ， 为 了 节约 存储 空 
间 ， 可 以 对 管理 数据 提取 摘要 或 压缩 原始 数据 。 但 是 ， 在 每 种 情况 下 ， 数 据 在 存储 之 前 首先 要 经 
过 处 理 。 

o 串 行 化 过 程 中 的 隐 式 与 显 式 的 数据 类 型 

在 选择 串 行 化 方案 时 需要 加 以 权衡 。 一 方面 ， 在 数据 中 包含 类 型 信息 会 增加 安全 性 ， 这 样 接 
收 方 可 以 验证 接收 的 数据 项 类 型 是 否 与 期 望 值 匹配 。 男 一 方面 ， 类 型 信息 会 在 两 个 方面 增加 负 
Ro A, 传输 更 多 的 比特 会 增加 传输 负载 。 其 次 ， 为 每 个 数据 项 创建 (也 可 能 是 校 验 ) 类 型 
信息 会 增加 处 理 负 载 。 因 此 ,设计 者 必须 在 更 好 的 安全 性 与 更 大 的 负载 之 间 进 行 权 衡 。 

© 效率 与 易于 检查 

在 进行 数据 的 存储 或 传输 时 ， 管 理 系统 要 选择 采用 二 进 制 编码 还 是 可 读 编 码 。 二 进 制 编码 
紧凑 并 旦 能 节约 空间 ,但 是 可 读 编 码 具 有 两 个 优点 。 首 先 ， 可 读 性 使 得 调试 软件 与 识别 问题 更 容 
易 ， 特 别 是 在 数据 由 一 个 厂商 构建 的 系统 一 部 分 所 创建 ， 并 被 用 于 由 其 他 厂商 构建 的 系统 其 他 
部 分 所 使 用 时 。 其 次 ， 可 读 性 避免 对 二 进 制 表示 方法 的 假设 ， 这 使 得 它 难以 在 异 构 系 统 之 间 传 输 
数据 。 因 此 ， 在 更 小 的 负载 与 更 容易 的 数据 检查 与 验证 之 间 需 要 权衡 。 

se。 可 扩展 的 传输 表示 方法 与 更 小 的 负载 

有 些 技术 〈 例 如 XML) 允许 设计 者 为 每 个 数据 项 包含 名 字 与 类 型 ， 这 样 使 得 被 传输 的 成 组 
的 项 易于 扩展 。 但 是 ， 为 每 个 数据 项 发 送 额外 的 元 数据 会 增加 计算 与 传输 负载 一 一 不 能 包含 元 
数据 的 二 进 制 表示 方法 更 加 紧凑 ， 并 且 在 生成 数据 时 花费 的 时 间 更 少 。 因 此 ， 设 计 者 必须 在 更 容 
易 扩展 与 负载 更 小 的 表示 方法 之 间 进 行 权衡 。 

o 存储 器 内 部 模型 与 外 部 数据 模型 

围绕 管理 数据 表示 方法 的 一 个 主要 问题 是 数据 项 在 哪里 存储 。 管 理 数 据 的 哪些 部 分 存储 在 
主 存储 器 中 ， 哪 些 部 分 存储 在 二 级 存储 器 中 ， 哪 些 部 分 存储 在 两 种 存储 器 中 ? 使 用 主 存储 器 的 优 
点 在 于 访问 速度 : 典型 的 随机 存储 器 处 理 速 度 比 磁盘 快 几 个 数量 级 。 二 级 存储 器 的 优点 在 于 持 
久 性 (发 生 故 障 后 数据 仍然 存在 ) 与 通用 的 访问 〈 应 用 可 以 直接 访问 数据 ) 。 因 此 ， 在 速度 与 增 
加 的 性 能 /访问 之 间 需 要 权衡 。 

s 对 象 大 小 与 层次 结构 深度 

类 层次 结构 相对 较 少 的 信息 模型 的 优点 是 搜索 时 间 短 ,缺点 是 每 个 对 象 更 大 ， 导 致 加 载 时 
间 长 。 相 对 来 说 ， 层 次 结构 较 多 的 模型 的 优点 是 对 象 小 ， 这 就 意味 着 加 载 一 个 对 象 所 需 时 间 短 ， 
它 的 缺点 是 要 花费 更 多 时 间 在 层次 之 间 搜 索 。 

e 单一 类 层次 结构 与 多 层次 结构 

在 构建 一 个 信息 模型 时 ， 可 能 定义 一 个 单一 的 、 全 局 的 类 层次 结构 ， 它 包含 与 网 络 管理 系统 
相关 的 所 有 方面 的 信息 ， 也 可 能 定义 多 个 独立 的 层次 结构 ， 每 个 层次 结构 只 关注 系统 的 某 个 方 
面 。 前 者 的 优点 在 于 概念 上 的 统一 ， 所 有 管理 信息 以 一 种 严格 的 层次 结构 方式 加 以 组 织 。 单 一 层 
次 结构 的 缺点 在 于 它 的 负载 ， 这 是 由 于 单一 模型 必须 包含 额外 的 数据 项 ， 以 便 指 定 网 络 管理 所 
需 的 信息 范围 (例如 ， 将 元 层次 结构 的 定义 插入 层次 结构 中 只 用 于 连接 相关 的 数据 项 )。 相 比 之 
下 ， 多 层次 结构 允许 软件 系统 被 设计 成 只 包含 有 关 管 理 的 项 ， 它 的 缺点 是 看 起 来 缺乏 组 织 。 因 
此 ， 主 要 的 权衡 在 于 概念 上 的 统一 与 运行 时 效率 。 次 要 的 权衡 在 于 需要 为 添加 到 单一 层次 结构 
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的 数据 项 增加 空间 。 

e 统一 或 分 离 的 关联 与 类 层次 结构 

由 于 信息 建 模 的 通用 性 足以 适应 任意 信息 ， 因 此 一 个 模型 可 以 保存 元 数据 (例如 一 组 用 来 
表示 各 项 相互 关系 的 关联 )。 尽 管 有 可 能 将 关联 作为 类 层次 结构 的 一 个 部 分 ,但 这 样 做 会 带 来 客 
外 的 运行 时 负载 ， 这 是 由 于 管理 系统 必须 访问 数据 对 象 与 关联 对 象 。 由 于 关联 对 象 在 概念 上 不 
同 于 其 他 数据 对 象 ， 因 此 关联 必须 位 于 层次 结构 中 完全 独立 于 数据 项 的 某 个 部 分 ， 这 就 意味 着 
系统 首先 要 通过 层次 结构 来 获得 关联 ， 然 后 才能 通过 层次 结构 来 定位 关联 所 指出 的 项 。 因 此 ， 在 
类 层次 结构 中 需要 在 元 数据 概念 上 的 统一 与 运行 时 效率 之 间 进 行 权衡 。 

。 具体 域 模 型 与 具体 解决 方案 模型 

具体 域 模 型 的 潜在 优点 在 于 为 域 中 的 所 有 软件 系统 提供 准确 答案 。 但 是 ， 具 体 域 模型 被 证 

320) “” 明 是 难以 构建 的 ， 并 且 生 成 的 类 层次 结构 对 某 些 应 用 可 能 无 效 。 相 对 来 说 ， 具 体 解 决 方案 模型 针 

对 某 个 特定 问题 ， 它 可 能 无 法 应 用 于 其 他 软件 系统 ， 即 使 是 相关 的 问题 。 因 此 ， 需 要 在 通用 性 与 
可 行 性 或 效率 之 间 进 行 权衡 。 


17.6 总 结 


本 章 给 出 了 一 些 复杂 的 网 络 管理 系统 设计 中 权衡 的 例子 。 很 多 方面 的 权衡 突出 了 困难 的 决 
E, 包括 选择 总 体 方案 、 系 统 体 系 结构 、 设 计 系 统 、 数 据 表示 方法 与 信息 模型 等 。 这 些 权 衡 可 以 
B21) 大 我 们 理解 为 什么 没有 一 个 方案 作为 构建 下 一 代 管 理 系 统 的 关键 而 出 现 。 
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18.1 简介 


本 部 分 前 面 几 章 描 述 了 理想 的 网 络 管理 系统 的 特点 ， 考 虑 了 可 能 的 体系 结构 ， 研 究 了 数据 
表示 方法 与 语义 ， 并 讨论 了 在 设计 与 构建 复杂 的 管理 系统 时 所 作 的 权衡 。 本 章 将 通过 列 出 一 系 
列 有 符 于 俩 究 的 问题 来 继续 前 面 的 讨论 。 

本 章 所 列 出 的 问题 的 范围 与 难度 有 很 大 区 别 。 有 些 问题 适合 本 科 生 作为 谍 程 中 的 一 个 项 目 
来 完成 ; 其 他 问题 需要 多 个 研究 者 花费 几 年 的 时 间 来 研究 。 在 有 些 情况 下 ， 很 多 问题 适 于 进行 增 
量 性 质 的 工作 ， 只 是 选择 问题 的 一 小 部 分 研究 ， 以 便 个 人 在 一 段 固 乍 的 时 间 内 完成 。 


18.2 管理 系统 的 基本 抽象 


可 构建 的 综合 管理 系统 的 基本 抽象 是 什么 ”为 了 理解 这 个 问题 ， 我 们 看 一 下 20 世纪 60 年 代 
的 操作 系统 。 每 个 硬件 供应 商 开 发 出 软件 ， 以 装载 应 用 程序 并 控制 IO 设备 。 每 台 计 算 机 的 硬件 
有 很 大 差别 ， 基 本 抽象 是 从 底层 的 硬件 获得 的 。 因 此 ， 一 个 供应 商 使 用 LO 模块 在 特定 的 磁盘 驱 
动 器 上 读 取 或 写 人 数据 块 ， 而 另 一 个 供应 商 使 用 IO 模块 在 特定 的 滚 简 设备 上 读 取 或 写 人 数据 。 
计算 机 缺乏 可 以 用 于 不 同 设备 与 供应 商 的 通用 抽 复 。MIT 的 MAC 项 目的 研究 关注 高 层 抽象 ， 例 
如 进程 、 文 件 与 地 址 空间 等 。 尽 管 这 个 项 目的 Multics 系统 没有 获得 商业 上 的 成 功 ， 但 是 它 所 提 
出 的 抽象 保留 下 来 ， 并 作为 构建 与 讨论 操作 系统 的 基础 。 网 络 管理 需要 一 个 类 似 的 革新 : 不 是 构 
建 通用 于 现 有 的 硬件 、 软 件 与 协议 的 抽象 ， 研 究 者 需要 一 组 正 交 的 、 高 层 的 抽象 ， 以 便 为 大 规模 
的 、 综 合 的 管理 系统 的 体系 结构 提供 新 的 思路 。 

对 有 助 于 描述 和 刻画 问题 的 抽象 与 用 于 构建 管理 系统 的 抽象 加 以 区 分 是 重要 的 。 我 们 有 一 
个 关于 前 者 的 例子 : FCAPS。 需 要 新 的 抽象 来 帮助 设计 者 构建 管理 软件 系统 。 


18.3 控制 与 验证 的 分 离 


一 种 方案 是 构建 单一 的 、 统 一 的 网 络 管理 系统 来 处 理 所 有 任务 ,为 一 种 方案 是 将 功能 分 为 
两 个 独立 的 系统 ， 一 个 系统 用 于 配置 、 控 制 网 络 ， 而 另 一 个 系统 用 于 验证 结果 ， 哪 种 方案 更 好 一 
HO? 由 于 策略 容易 描述 与 验证 ， 采 用 两 个 分 离 的 系统 可 能 很 好 ， 但 是 难以 实现 。 功 能 分 离 允 许 用 
一 个 独立 的 软件 系统 监控 网 络 ， 并 且 验 证 与 之 相关 的 策略 。 

我 们 将 是 否 单一 的 策略 声明 可 以 有 效 地 完成 控制 与 验证 作为 一 个 子 问题 来 加 以 考虑 。 单 一 
的 策略 声明 允许 管理 员 独 立地 指定 验证 条 件 。 在 任何 一 种 情况 下 ,策略 与 验证 条 件 应 如 何 表 示 ? 


18.4 网 络 与 终端 系统 的 边界 


一 个 网 络 与 使 用 网 络 的 一 台 计 算 机 系统 之 间 的 边界 究竟 在 哪里 ? 这 个 问题 是 网 络 管理 讨论 
的 基础 ， 因 为 边界 决定 了 哪些 项 需要 管理 。 很 显然 ， 边 界 看 起 来 不 可 能 被 精确 定义 。 为 了 理解 这 
些 问 题 ， 我 们 发 现 尽 管 协议 〈 例 如 TCP) 在 终端 系统 中 实现 ,但 是 它 对 整个 网 络 有 很 大 的 影响 。 
同样 ， 有 可 能 将 网 络 服务 (例如 Web 服务 ) 定义 为 网 络 的 一 部 分 ， 或 是 使 用 网 络 的 服务 。 








FCAPS 的 一 个 特别 之 处 在 于 模糊 了 网 络 与 终端 系统 之 间 的 区 分 ， 特 别 是 在 安全 性 方面 。 尽 
管 在 一 个 网 络 中 已 经 包含 了 安全 方面 的 内 容 ， 但 是 一 个 组 织 的 安全 策略 经 常 包括 终端 系统 的 行 
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为 与 责任 。 因 此 ， 出 现 了 网 络 安全 是 否 可 以 独立 于 终端 系统 进行 管理 的 问题 。 
18.5 网 络 管理 体系 结构 的 分 类 


我 们 从 网 络 管理 系统 的 底层 体系 结构 分 析 中 能 学 到 什么 ” 现 有 的 商用 或 研究 性 质 的 系 
统 是 否 采 用 了 第 15 章 中 没 提 到 的 结构 ? 如 果 情 况 是 这 样 ， 每 种 结构 的 优点 与 缺点 各 是 
什么 ? 

除了 回答 上 述 这 些 问 题 ,， 我们 可 以 考虑 这 些 体系 结构 之 间 的 关系 是 否 可 以 被 量化 。 也 
就 是 说 ,我 们 要 考虑 是 否 可 以 将 这 些 典 型 的 系统 根据 体系 结构 上 的 主要 特点 分 为 多 个 组 。 


18.6 现 有 系统 的 功能 扩展 


哪些 FCAPS 功能 的 组 合 没 有 被 现 有 的 网 络 管理 系统 包含 在 内 ? 尽管 现 有 系统 可 以 处 理 
FCAPS 的 5 个 方面 , 但 问题 在 于 它们 的 组 合 (例如 配置 加 故障 检测 )。 一 个 可 能 的 结论 是 这 种 组 
合 很 难 用 于 研究 原型 或 商用 产品 。 


18.7 路 由 与 流量 工程 的 管理 


传统 的 人 P 路 由 与 流量 管理 是 否 容易 规划 、 配 置 、 操 作 、 调 试 或 监控 ? 更 准确 地 说 ， 是 否 有 
可 能 结合 这 两 种 方案 对 管理 代价 进行 定量 评估 ? 我 们 感 兴趣 的 是 最 初 部 署 、 持 续 操 作 与 故障 后 
恢复 〈 即 当 需 要 备份 路 由 时 ) 的 代价 。 


18.8 上 自动 地 址 分 本 


我 们 是 否 可 以 构建 软件 来 自动 为 整个 组 织 设计 编 址 方案 ? 也 就 是 说 ， 程 序 是 否 可 以 设计 成 
只 需 输入 网 络 拓 扑 、 外 部 连接 列表 与 未 来 发 展 趋势 ， 然 后 自动 输出 每 个 物理 网 络 的 地 址 前 缀 分 
配方 案 ? : 

如 果 解 决 这 样 的 问题 很 困难 ， 是 否 可 以 采用 将 分 析 限 制 在 特定 拓扑 的 方法 ? 例如 ， 包 含 单 一 
局 域 网 段 的 网 络 是 简单 的 。 在 问题 变 得 复杂 之 前 需要 添加 多 少 个 网 络 ? 


18.9 路 由 分 析 


我 们 是 否 可 以 构建 软件 来 自动 评 信和 整个 网 络 的 路 由 体系 结构 ? 也 就 是 说 ， 程 序 是 否 可 以 设 
计 成 只 需 输 入 网 络 拓扑 与 路 由 描述 ， 就 可 以 输出 整个 路 由 结构 的 分 析 结 果 ， 包 括 正确 性 、 效 率 与 
节点 或 链 路 故障 后 的 恢复 能 力 。 

我 们 将 通过 软件 来 日 动 探索 路 由 器 《〈 如 使 用 SNMP) 、 构 建 一 个 拓扑 、 产 生 一 个 路 由 覆盖 ， 
以 及 分 析 可 达 的 结果 图 、 黑 洞 与 非 对 称 路 由 等 作为 一 个 子 问题 来 加 以 考虑 。 这 样 的 软件 能 处 理 
路 由 问题 的 所 有 方面 吗 ? 


18.10 ”安全 策略 增强 


软件 是 否 可 以 设计 成 只 需 输 入 一 组 安全 策略 ， 就 可 以 验证 这 些 策略 能 否 在 整个 网 络 中 被 正 
确 、 统 一 地 执行 ? 这 就 要 有 一 种 可 以 让 管理 员 描述 要 验证 的 安全 约束 的 语言 。 在 下 面 的 两 种 语言 
中 ， 一 种 表达 需要 实现 的 策略 ， 另 一 种 表达 验证 条 件 ， 它 们 各 有 怎样 的 优点 ? 

正如 我 们 上 面 所 指出 的 ， 在 安全 的 情况 下 进行 验证 特别 困难 ， 因 为 很 多 方面 涉及 终端 
系统 而 不 是 网 络 元 素 。 我 们 可 以 考虑 将 边界 的 限制 作为 一 种 选择 。 也 就 是 说 ， 我 们 需要 考 
虑 的 问题 是 : 哪些 有 关 安 全 的 项 不 能 被 验证 ， 如 果 它 只 具有 查询 网 络 元 素 而 不 是 终端 系统 
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的 能 力 ? 
18. 11 针对 自动 管理 的 基础 设施 重新 设计 


我 们 是 否 可 以 重新 设计 网 络 元 素 以 使 自动 管理 成 为 可 能 ? 例如 ， 我们 考虑 为 每 个 交换 机 添 
加 管理 处 理 器 ， 这 样 当 一 个 新 的 连接 建立 起 来 后 ， 管 理 处 理 右 可 以 查询 位 于 连接 及 一 端的 设备 、 
在 拓扑 数据 库 中 输入 信息 并 配置 这 个 设备 。 我 们 假设 只 有 交换 机 中 的 管理 处 理 胡 可 以 进行 配置 
( 即 无 法 绕 过 管理 系统 与 人 工 修改 网 络 元 素 ) 。 

作为 对 上 述 思 路 的 扩展 ， 我 们 考虑 两 个 交换 机 互 连 时 会 发 生 什 么 情况 ?两 个 交换 机 中 的 管 
理 处 理 器 应 该 交换 拓扑 与 配置 信息 ， 并 且 同 意 组 成 一 个 分 布 式 的 管理 系统 。 这 个 思路 可 以 扩展 
到 多 少 个 交换 机 的 情况 ? 在 目 治 系统 的 边界 将 会 发 生 什 么 情况 ? 


18.12 ”管理 信息 的 对 等 传播 


在 大 型 网 络 中 通过 对 等 范 型 自动 传播 管理 信息 具有 哪些 优点 ? 管理 囊 当 前 被 安装 了 一 组 管 
理 节 点 ， 并 且 通 过 人 工 来 选择 协作 点 的 集合 。 问 题 是 自动 系统 是 否 可 以 很 好 地 适应 环境 。 因 此 ， 
关键 问题 在 于 是 否 可 以 构建 一 个 系统 ， 自 动 将 数据 拷贝 发 送 给 网 络 中 需要 该 数据 的 节点 ， 而 不 
是 盲目 发 送 不 需要 的 数据 拷贝 。 


18. 13 ”路 由 失效 分 析 


我 们 是 否 有 可 能 构建 软件 来 自动 查询 网 络 与 分 析 路 由 弱点 ? 也 就 是 说 ， 是 否 可 以 构建 软件 
系统 探索 路 由 器 、 找 到 所 有 的 物理 拓扑 并 发 现 正在 使 用 的 路 由 机 制 ， 并 且 通 过 不 同 的 节点 与 链 
路 失效 来 计算 路 由 系统 的 行为 ， 以 决定 网 络 中 哪些 地 方 容 易 受到 攻击 ? 


18.14 ”自动 拓扑 发 现 的 局 限 性 


通过 应 用 与 高 层 协议 探测 网 络 的 拓扑 发 现 工具 只 能 沿 着 可 路 由 的 路 径 。 我 们 将 可 以 查询 网 
络 元 素 的 发 现 机 制作 为 一 个 问题 : 管理 系统 是 否 可 以 访问 每 个 网 络 元 素 〈 使 用 SNMP) 中 的 所 
有 信息 ， 并 且 是 否 有 可 能 发 现 完整 的 物理 与 逻辑 拓扑 ?如 果 管 案 是 否定 的 ， 则 是 否 可 以 描述 无 法 
自动 发 现 的 拓扑 信息 ? 


18.15 NetFlow 数据 的 数据 挖掘 


哪些 信息 可 以 从 NetFlow 数据 中 提取 出 来 ”很 多 NetFlow 分 析 系 统 生成 流量 的 统计 数据 ， 例 
如 包含 给 定 协议 (例如 TCP) 数据 包 的 百分比 或 某 种 应 用 〈 例 如 Web) 数据 包 的 百分比 。 主 要 
问题 在 于 数据 挖掘 技术 是 否 可 用 于 提取 基本 统计 之 外 的 信息 。 


18.16 网 络 状态 的 存储 


存储 网 络 状 态 需 要 多 少 空间 ? 更 具体 地 说 ， 我 们 是 否 可 以 估计 出 存储 信息 的 空间 容量 (这 
此 信息 用 于 发 生 故 障 后 重新 配置 所 有 网 络 元 素 ) ?这 里 有 两 种 可 能 的 方法 ， 每 个 网 络 元 素 的 配置 
参数 的 快照 ， 或 用 于 配置 每 个 元 素 的 命令 的 拷贝 。 

作为 扩展 ， 我 们 考虑 状态 信息 的 元 余 ， 例 如 一 组 使 用 相同 元 数据 〈 包 括 登 录 ID, HI OR 
权 列 表 ) 配置 的 路 由 顺 。 如 果 从 网 络 状态 中 去 掉 元 余 信 息 ， 则 可 以 节约 多 大 的 存储 空间 ? 
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18.17 采用 贝 叶 斯 过 滤 的 异常 检测 


我 们 是 否 可 以 使 用 贝 叶 斯 过 滤 来 检测 网 络 中 的 异常 行为 98? 具体 来 说 ， 除 了 可 以 在 正常 的 网 
络 流量 中 发 现 异 常 之 外 ， 贝 叶 斯 过 滤器 如 何 帮 助 在 管理 数据 〈 例 如 状态 与 故障 报告 ) 中 识别 出 
异常 ? 


18.18 脚本 中 保护 的 代价 


脚本 技术 允许 管理 员 通 过 编写 脚本 来 控制 处 理 过 程 ， 通 常 可 以 在 脚本 中 插入 一 个 保护 层 : 
系统 不 允许 脚本 直接 处 理 内 部 数据 结构 ， 而 是 为 脚本 提供 一 份 数据 拷贝 ,并 在 脚本 结束 时 将 数 
据 结 构 的 改变 返回 系统 。 从 计算 负载 角度 来 看 ， 这 种 保护 的 代价 有 多 大 ? 是否 有 其 他 方法 可 以 有 
效 地 提供 相同 的 你 护 ? 


18.19 ” 迟 绑 定 的 接口 管理 应 用 


管理 系统 是 否 可 以 提供 一 个 迟 绪 定 的 接口 ， 以 较 小 的 负载 来 动态 地 创建 新 的 应 用 ? 为 了 理 
解 这 个 问题 ， 我 们 考虑 第 15 章 中 介绍 的 软件 背 板 体系 结构 。 背 板 应 使 用 怎样 的 接口 以 允许 应 用 
管理 网 络 元 素 ? 具体 来 说 ， 是 否 可 以 设计 一 种 允许 管理 员 容 易 、 快 速 地 添加 新 的 应 用 ， 同 时 降低 
访问 管理 数据 的 代价 的 接口 ? 


18. 20 ”管理 系统 与 元 素 的 边界 


网 络 管理 系统 与 每 个 网 络 元 素 之 间 的 边界 位 于 哪个 层次 ? 也 就 是 说 ， 多 少 管理 功能 应 该 包 
括 在 网 络 元 素 中 ， 多 少 管理 功能 应 该 包括 在 管理 系统 中 ? 这 个 问题 分 为 两 个 部 分 。 一 方面 ， 我 们 
可 以 考虑 是 否 将 更 多 智能 分 布 到 其 中 某 个 部 分 ， 这 样 做 是 否 会 影响 整体 功能 。 另 一 方面 ,我们 可 
以 考虑 智能 分 布 的 位 置 ， 这 样 做 是 否 会 影响 系统 性 能 〈 例 如， 传输 的 管理 数据 数量 可 能 有 很 大 
改变 ) 。 


18. 21 总 结 


由 于 对 未 来 管理 系统 的 设计 所 知 甚 少 ， 有 很 多 开放 性 的 问题 存在 。 本 章 提 出 了 很 多 可 以 研 
究 的 题目 。 本 重担 出 了 问题 ， 但 没有 加 以 回答 。 尽 管 很 多 问题 适 于 作为 研究 生 阶 段 的 项 目 ， 但 是 
其 中 有 些 题目 需要 进行 长 时 间 的 研究 。 


O 贝 叶 斯 过 滤 是 与 机 器 学 习 相 关 的 ， 它 采用 统计 技术 通过 将 观测 值 与 基准 值 比较 来 识别 异常 的 输入 。 
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